ဆောင်းပါးတွင် ချိတ်ဆက်သည့်အခါ အတည်ပြုချက်တောင်းဆိုချက်တစ်ခုပေးပို့မည့် Telegram bot ဖြင့် two-factor authentication ကိုဖွင့်ရန် OpenVPN ဆာဗာကို တည်ဆောက်ခြင်းအကြောင်း ဖော်ပြထားပါသည်။
OpenVPN သည် အတွင်းပိုင်း အဖွဲ့အစည်းဆိုင်ရာ အရင်းအမြစ်များသို့ လုံခြုံသော ဝန်ထမ်းဝင်ရောက်ခွင့်ကို စုစည်းရန် ကျယ်ကျယ်ပြန့်ပြန့် အသုံးပြုထားသည့် နာမည်ကြီး၊ အခမဲ့၊ ပွင့်လင်းသော VPN ဆာဗာတစ်ခုဖြစ်သည်။
VPN ဆာဗာသို့ ချိတ်ဆက်ခြင်းအတွက် စစ်မှန်ကြောင်းအထောက်အထားအဖြစ်၊ သော့နှင့် အသုံးပြုသူ၏ အကောင့်ဝင်ခြင်း/စကားဝှက်ကို ပေါင်းစပ်အသုံးပြုလေ့ရှိသည်။ တစ်ချိန်တည်းမှာပင်၊ client တွင်သိမ်းဆည်းထားသော password သည် set တစ်ခုလုံးအား သင့်လျော်သောလုံခြုံရေးအဆင့်ကိုမပေးစွမ်းနိုင်သောအချက်တစ်ချက်အဖြစ်သို့ပြောင်းလဲသွားသည်။ တိုက်ခိုက်သူသည် သုံးစွဲသူကွန်ပြူတာသို့ ဝင်ရောက်ခွင့်ရရှိကာ VPN ဆာဗာကိုလည်း အသုံးပြုနိုင်မည်ဖြစ်သည်။ အထူးသဖြင့် Windows သုံးသည့် စက်များမှ ချိတ်ဆက်မှုများအတွက် ၎င်းသည် အထူးမှန်သည်။
ဒုတိယအချက်ကိုအသုံးပြုခြင်းသည် ခွင့်ပြုချက်မရှိဘဲဝင်ရောက်ခြင်း၏အန္တရာယ်ကို 99% လျော့နည်းစေပြီး သုံးစွဲသူများအတွက် ချိတ်ဆက်မှုလုပ်ငန်းစဉ်ကို လုံးဝရှုပ်ထွေးစေမည်မဟုတ်ပါ။
ချက်ချင်းကြိုတင်စာရင်းသွင်းခွင့်ပြုပါ- အကောင်အထည်ဖော်ရန်အတွက် သင်သည် သင့်လိုအပ်ချက်များအတွက် အခမဲ့အခွန်အခကို အသုံးပြုနိုင်သည့် ပြင်ပမှ စစ်မှန်ကြောင်းအထောက်အထားပြဆာဗာ multifactor.ru ကို ချိတ်ဆက်ရန် လိုအပ်မည်ဖြစ်သည်။
ဘယ်လိုအလုပ်လုပ်တယ်
- OpenVPN သည် စစ်မှန်ကြောင်းအထောက်အထားပြရန်အတွက် openvpn-plugin-auth-pam ပလပ်အင်ကို အသုံးပြုသည်။
- ပလပ်အင်သည် ဆာဗာရှိ သုံးစွဲသူ၏ စကားဝှက်ကို စစ်ဆေးပြီး Multifactor ဝန်ဆောင်မှုရှိ RADIUS ပရိုတိုကောမှတစ်ဆင့် ဒုတိယအချက်ကို တောင်းဆိုသည်။
- Multifactor သည် ဝင်ရောက်ခွင့်ကို အတည်ပြုကြောင်း Telegram bot မှတစ်ဆင့် သုံးစွဲသူထံ မက်ဆေ့ချ်ပေးပို့သည်။
- အသုံးပြုသူသည် Telegram ချတ်တွင် ဝင်ရောက်ခွင့်တောင်းဆိုချက်ကို အတည်ပြုပြီး VPN သို့ ချိတ်ဆက်သည်။
OpenVPN ဆာဗာကို ထည့်သွင်းခြင်း။
OpenVPN ကို ထည့်သွင်းခြင်းနှင့် စီစဉ်သတ်မှတ်ခြင်းလုပ်ငန်းစဉ်ကို ဖော်ပြသည့် အင်တာနက်ပေါ်တွင် ဆောင်းပါးများစွာရှိသည်၊ ထို့ကြောင့် ၎င်းတို့ကို ပွားမည်မဟုတ်ပါ။ သင်အကူအညီလိုအပ်ပါက၊ ဆောင်းပါး၏အဆုံးတွင် ကျူတိုရီရယ်လင့်ခ်များစွာရှိသည်။
Multifactor ကို သတ်မှတ်ခြင်း။
သွားပါ
ဖန်တီးပြီးသည်နှင့် သင့်အတွက် ရွေးချယ်စရာနှစ်ခုရှိလိမ့်မည်- NAS-အထောက်အထား и လျှို့ဝှက်ချက်မျှဝေပါ၎င်းတို့သည် နောက်ဆက်တွဲဖွဲ့စည်းမှုပုံစံအတွက် လိုအပ်မည်ဖြစ်သည်။
"Groups" ကဏ္ဍတွင်၊ "အသုံးပြုသူအားလုံး" အဖွဲ့ဆက်တင်များသို့သွားပြီး "အရင်းအမြစ်များအားလုံးကို" အလံကို ဖယ်ရှားပြီး အချို့သောအဖွဲ့၏အသုံးပြုသူများသာ VPN ဆာဗာသို့ ချိတ်ဆက်နိုင်စေရန်။
"VPN အသုံးပြုသူများ" အုပ်စုအသစ်တစ်ခုဖန်တီးပါ" Telegram မှလွဲ၍ အထောက်အထားစိစစ်ခြင်းနည်းလမ်းအားလုံးကို ပိတ်ပြီး အသုံးပြုသူများသည် ဖန်တီးထားသော VPN ရင်းမြစ်ကို အသုံးပြုခွင့်ရှိကြောင်း ညွှန်ပြပါ။
"အသုံးပြုသူများ" ကဏ္ဍတွင်၊ VPN သို့ဝင်ရောက်ခွင့်ရှိမည့် အသုံးပြုသူများကို ဖန်တီးပါ၊ "VPN အသုံးပြုသူများ" အဖွဲ့သို့ ပေါင်းထည့်ကာ အထောက်အထားစိစစ်ခြင်း၏ ဒုတိယအချက်ကို စီစဉ်သတ်မှတ်ရန် လင့်ခ်တစ်ခုပေးပို့ပါ။ အသုံးပြုသူ၏ဝင်ရောက်မှုသည် VPN ဆာဗာပေါ်ရှိ အကောင့်ဝင်ခြင်းနှင့် ကိုက်ညီရပါမည်။
OpenVPN ဆာဗာကို စနစ်ထည့်သွင်းခြင်း။
ဖိုင်ကိုဖွင့်ပါ။ /etc/openvpn/server.conf နှင့် PAM module ကို အသုံးပြု၍ စစ်မှန်ကြောင်းအထောက်အထားအတွက် ပလပ်အင်တစ်ခုထည့်ပါ။
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn
ပလပ်အင်ကို လမ်းညွှန်တွင် ထားရှိနိုင်ပါသည်။ /usr/lib/openvpn/plugins/ သို့မဟုတ် /usr/lib64/openvpn/plugins/ သင့်စနစ်ပေါ် မူတည်.
ထို့နောက် သင်သည် pam_radius_auth module ကို ထည့်သွင်းရန် လိုအပ်သည်။
$ sudo yum install pam_radius
တည်းဖြတ်ရန် ဖိုင်ကိုဖွင့်ပါ။ /etc/pam_radius.conf Multifactor ၏ RADIUS ဆာဗာ၏လိပ်စာကို သတ်မှတ်ပါ။
radius.multifactor.ru shared_secret 40
ဘယ်မှာ:
- radius.multifactor.ru — ဆာဗာလိပ်စာ
- shared_secret - သက်ဆိုင်ရာ VPN ဆက်တင်သတ်မှတ်ချက်ဘောင်မှ မိတ္တူ
- စက္ကန့် 40 - ကြီးမားသောအနားသတ်ဖြင့် တောင်းဆိုမှုကို စောင့်ဆိုင်းရန် အချိန်ကုန်သွားပါသည်။
ကျန်ဆာဗာများကို ဖျက်ပစ်ရမည် သို့မဟုတ် မှတ်ချက်ပေးရမည် (အစတွင် semicolon တစ်ခုထည့်ပါ)
ထို့နောက် ဝန်ဆောင်မှုအမျိုးအစား openvpn အတွက် ဖိုင်တစ်ခုကို ဖန်တီးပါ။
$ sudo vi /etc/pam.d/openvpn
ရေးပါ။
auth required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth substack password-auth
account substack password-auth
ပထမစာကြောင်းသည် PAM မော်ဂျူး pam_radius_auth ကို ကန့်သတ်ချက်များဖြင့် ချိတ်ဆက်သည်-
- skip_passwd - အသုံးပြုသူ၏ စကားဝှက်ကို RADIUS Multifactor ဆာဗာသို့ ပို့ခြင်းကို ပိတ်သည် (၎င်းကို သိရှိရန် မလိုအပ်ပါ)။
- client_id — VPN အရင်းအမြစ်ဆက်တင်များမှ သက်ဆိုင်ရာ parameter ဖြင့် [NAS-Identifier] ကို အစားထိုးပါ။
ဖြစ်နိုင်ချေရှိသော ကန့်သတ်ချက်များအားလုံးကို ဖော်ပြထားပါသည်။module အတွက်စာရွက်စာတမ်း .
ဒုတိယနှင့် တတိယလိုင်းများတွင် သင်၏ဆာဗာရှိ လော့ဂ်အင်၊ စကားဝှက်နှင့် အသုံးပြုသူအခွင့်အရေးတို့ကို စနစ်အတည်ပြုခြင်းတွင် ဒုတိယအထောက်အထားစိစစ်ခြင်းအချက်တစ်ခု ပါဝင်သည်။
OpenVPN ကို ပြန်လည်စတင်ပါ။
$ sudo systemctl restart openvpn@server
Client စနစ်ထည့်သွင်းခြင်း။
အသုံးပြုသူ၏ လော့ဂ်အင်နှင့် စကားဝှက်အတွက် တောင်းဆိုချက်ကို ကလိုင်းယင့်ဖွဲ့စည်းမှုပုံစံဖိုင်တွင် ထည့်သွင်းပါ။
auth-user-pass
ကြည့်ရှုစစ်ဆေးခြင်း
OpenVPN client ကိုဖွင့်ပါ၊ ဆာဗာသို့ချိတ်ဆက်ပါ၊ သင်၏အသုံးပြုသူအမည်နှင့် စကားဝှက်ကိုထည့်ပါ။ Telegram bot သည် ခလုတ်နှစ်ခုဖြင့် ဝင်ရောက်ခွင့်တောင်းဆိုမှုကို ပေးပို့မည်ဖြစ်သည်။
ခလုတ်တစ်ခုက ဝင်ခွင့်ပြုသည်၊ ဒုတိယက ၎င်းကို ပိတ်ဆို့သည်။
ယခု သင်သည် သင်၏စကားဝှက်ကို ကလိုင်းယင့်တွင် လုံခြုံစွာသိမ်းဆည်းနိုင်ပြီဖြစ်သည်၊ ဒုတိယအချက်မှာ သင်၏ OpenVPN ဆာဗာအား ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်းမှ စိတ်ချယုံကြည်စွာ ကာကွယ်နိုင်မည်ဖြစ်သည်။
တစ်ခုခုအဆင်မပြေရင်
မည်သည့်အရာမှ မလွတ်သွားကြောင်း ဆက်တိုက်စစ်ဆေးပါ-
- စကားဝှက်သတ်မှတ်ထားသည့် OpenVPN ဖြင့် ဆာဗာပေါ်တွင် အသုံးပြုသူတစ်ဦးရှိသည်။
- ဆာဗာသည် လိပ်စာ radius.multifactor.ru သို့ UDP အပေါက် 1812 မှတစ်ဆင့် ဝင်ရောက်နိုင်သည်။
- NAS-Identifier နှင့် Shared Secret ဘောင်များကို မှန်ကန်စွာ သတ်မှတ်ထားပါသည်။
- တူညီသောဝင်ရောက်မှုရှိသောအသုံးပြုသူတစ်ဦးကို Multifactor စနစ်တွင်ဖန်တီးထားပြီး VPN အသုံးပြုသူအုပ်စုအား ဝင်ရောက်ခွင့်ပေးထားပါသည်။
- အသုံးပြုသူသည် Telegram မှတစ်ဆင့် အထောက်အထားစိစစ်ခြင်းနည်းလမ်းကို ပြင်ဆင်သတ်မှတ်ထားသည်။
OpenVPN ကို အရင်က မသတ်မှတ်ရသေးရင် ဖတ်ပါ။
ညွှန်ကြားချက်များကို CentOS 7 တွင် နမူနာများဖြင့် ပြုလုပ်ထားသည်။
source: www.habr.com