Telegram bot ဖြင့် OpenVPN တွင် two-factor authentication

ဆောင်းပါးတွင် ချိတ်ဆက်သည့်အခါ အတည်ပြုချက်တောင်းဆိုချက်တစ်ခုပေးပို့မည့် Telegram bot ဖြင့် two-factor authentication ကိုဖွင့်ရန် OpenVPN ဆာဗာကို တည်ဆောက်ခြင်းအကြောင်း ဖော်ပြထားပါသည်။

OpenVPN သည် အတွင်းပိုင်း အဖွဲ့အစည်းဆိုင်ရာ အရင်းအမြစ်များသို့ လုံခြုံသော ဝန်ထမ်းဝင်ရောက်ခွင့်ကို စုစည်းရန် ကျယ်ကျယ်ပြန့်ပြန့် အသုံးပြုထားသည့် နာမည်ကြီး၊ အခမဲ့၊ ပွင့်လင်းသော VPN ဆာဗာတစ်ခုဖြစ်သည်။

VPN ဆာဗာသို့ ချိတ်ဆက်ခြင်းအတွက် စစ်မှန်ကြောင်းအထောက်အထားအဖြစ်၊ သော့နှင့် အသုံးပြုသူ၏ အကောင့်ဝင်ခြင်း/စကားဝှက်ကို ပေါင်းစပ်အသုံးပြုလေ့ရှိသည်။ တစ်ချိန်တည်းမှာပင်၊ client တွင်သိမ်းဆည်းထားသော password သည် set တစ်ခုလုံးအား သင့်လျော်သောလုံခြုံရေးအဆင့်ကိုမပေးစွမ်းနိုင်သောအချက်တစ်ချက်အဖြစ်သို့ပြောင်းလဲသွားသည်။ တိုက်ခိုက်သူသည် သုံးစွဲသူကွန်ပြူတာသို့ ဝင်ရောက်ခွင့်ရရှိကာ VPN ဆာဗာကိုလည်း အသုံးပြုနိုင်မည်ဖြစ်သည်။ အထူးသဖြင့် Windows သုံးသည့် စက်များမှ ချိတ်ဆက်မှုများအတွက် ၎င်းသည် အထူးမှန်သည်။

ဒုတိယအချက်ကိုအသုံးပြုခြင်းသည် ခွင့်ပြုချက်မရှိဘဲဝင်ရောက်ခြင်း၏အန္တရာယ်ကို 99% လျော့နည်းစေပြီး သုံးစွဲသူများအတွက် ချိတ်ဆက်မှုလုပ်ငန်းစဉ်ကို လုံးဝရှုပ်ထွေးစေမည်မဟုတ်ပါ။

ချက်ချင်းကြိုတင်စာရင်းသွင်းခွင့်ပြုပါ- အကောင်အထည်ဖော်ရန်အတွက် သင်သည် သင့်လိုအပ်ချက်များအတွက် အခမဲ့အခွန်အခကို အသုံးပြုနိုင်သည့် ပြင်ပမှ စစ်မှန်ကြောင်းအထောက်အထားပြဆာဗာ multifactor.ru ကို ချိတ်ဆက်ရန် လိုအပ်မည်ဖြစ်သည်။

ဘယ်လိုအလုပ်လုပ်တယ်

1. OpenVPN သည် စစ်မှန်ကြောင်းအထောက်အထားပြရန်အတွက် openvpn-plugin-auth-pam ပလပ်အင်ကို အသုံးပြုသည်။
2. ပလပ်အင်သည် ဆာဗာရှိ သုံးစွဲသူ၏ စကားဝှက်ကို စစ်ဆေးပြီး Multifactor ဝန်ဆောင်မှုရှိ RADIUS ပရိုတိုကောမှတစ်ဆင့် ဒုတိယအချက်ကို တောင်းဆိုသည်။
3. Multifactor သည် ဝင်ရောက်ခွင့်ကို အတည်ပြုကြောင်း Telegram bot မှတစ်ဆင့် သုံးစွဲသူထံ မက်ဆေ့ချ်ပေးပို့သည်။
4. အသုံးပြုသူသည် Telegram ချတ်တွင် ဝင်ရောက်ခွင့်တောင်းဆိုချက်ကို အတည်ပြုပြီး VPN သို့ ချိတ်ဆက်သည်။

OpenVPN ဆာဗာကို ထည့်သွင်းခြင်း။

OpenVPN ကို ထည့်သွင်းခြင်းနှင့် စီစဉ်သတ်မှတ်ခြင်းလုပ်ငန်းစဉ်ကို ဖော်ပြသည့် အင်တာနက်ပေါ်တွင် ဆောင်းပါးများစွာရှိသည်၊ ထို့ကြောင့် ၎င်းတို့ကို ပွားမည်မဟုတ်ပါ။ သင်အကူအညီလိုအပ်ပါက၊ ဆောင်းပါး၏အဆုံးတွင် ကျူတိုရီရယ်လင့်ခ်များစွာရှိသည်။

Multifactor ကို သတ်မှတ်ခြင်း။

သွားပါ Multifactor ထိန်းချုပ်မှုစနစ်"အရင်းအမြစ်များ" ကဏ္ဍကိုသွားပြီး VPN အသစ်တစ်ခုဖန်တီးပါ။
ဖန်တီးပြီးသည်နှင့် သင့်အတွက် ရွေးချယ်စရာနှစ်ခုရှိလိမ့်မည်- NAS-အထောက်အထား и လျှို့ဝှက်ချက်မျှဝေပါ၎င်းတို့သည် နောက်ဆက်တွဲဖွဲ့စည်းမှုပုံစံအတွက် လိုအပ်မည်ဖြစ်သည်။

"Groups" ကဏ္ဍတွင်၊ "အသုံးပြုသူအားလုံး" အဖွဲ့ဆက်တင်များသို့သွားပြီး "အရင်းအမြစ်များအားလုံးကို" အလံကို ဖယ်ရှားပြီး အချို့သောအဖွဲ့၏အသုံးပြုသူများသာ VPN ဆာဗာသို့ ချိတ်ဆက်နိုင်စေရန်။

"VPN အသုံးပြုသူများ" အုပ်စုအသစ်တစ်ခုဖန်တီးပါ" Telegram မှလွဲ၍ အထောက်အထားစိစစ်ခြင်းနည်းလမ်းအားလုံးကို ပိတ်ပြီး အသုံးပြုသူများသည် ဖန်တီးထားသော VPN ရင်းမြစ်ကို အသုံးပြုခွင့်ရှိကြောင်း ညွှန်ပြပါ။

"အသုံးပြုသူများ" ကဏ္ဍတွင်၊ VPN သို့ဝင်ရောက်ခွင့်ရှိမည့် အသုံးပြုသူများကို ဖန်တီးပါ၊ "VPN အသုံးပြုသူများ" အဖွဲ့သို့ ပေါင်းထည့်ကာ အထောက်အထားစိစစ်ခြင်း၏ ဒုတိယအချက်ကို စီစဉ်သတ်မှတ်ရန် လင့်ခ်တစ်ခုပေးပို့ပါ။ အသုံးပြုသူ၏ဝင်ရောက်မှုသည် VPN ဆာဗာပေါ်ရှိ အကောင့်ဝင်ခြင်းနှင့် ကိုက်ညီရပါမည်။

OpenVPN ဆာဗာကို စနစ်ထည့်သွင်းခြင်း။

ဖိုင်ကိုဖွင့်ပါ။ /etc/openvpn/server.conf နှင့် PAM module ကို အသုံးပြု၍ စစ်မှန်ကြောင်းအထောက်အထားအတွက် ပလပ်အင်တစ်ခုထည့်ပါ။

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn

ပလပ်အင်ကို လမ်းညွှန်တွင် ထားရှိနိုင်ပါသည်။ /usr/lib/openvpn/plugins/ သို့မဟုတ် /usr/lib64/openvpn/plugins/ သင့်စနစ်ပေါ် မူတည်.

ထို့နောက် သင်သည် pam_radius_auth module ကို ထည့်သွင်းရန် လိုအပ်သည်။

$ sudo yum install pam_radius

တည်းဖြတ်ရန် ဖိုင်ကိုဖွင့်ပါ။ /etc/pam_radius.conf Multifactor ၏ RADIUS ဆာဗာ၏လိပ်စာကို သတ်မှတ်ပါ။

radius.multifactor.ru   shared_secret   40

ဘယ်မှာ:

• radius.multifactor.ru — ဆာဗာလိပ်စာ
• shared_secret - သက်ဆိုင်ရာ VPN ဆက်တင်သတ်မှတ်ချက်ဘောင်မှ မိတ္တူ
• စက္ကန့် 40 - ကြီးမားသောအနားသတ်ဖြင့် တောင်းဆိုမှုကို စောင့်ဆိုင်းရန် အချိန်ကုန်သွားပါသည်။

ကျန်ဆာဗာများကို ဖျက်ပစ်ရမည် သို့မဟုတ် မှတ်ချက်ပေးရမည် (အစတွင် semicolon တစ်ခုထည့်ပါ)

ထို့နောက် ဝန်ဆောင်မှုအမျိုးအစား openvpn အတွက် ဖိုင်တစ်ခုကို ဖန်တီးပါ။

$ sudo vi /etc/pam.d/openvpn

ရေးပါ။

auth    required pam_radius_auth.so skip_passwd client_id=[NAS-IDentifier]
auth    substack     password-auth
account substack     password-auth

ပထမစာကြောင်းသည် PAM မော်ဂျူး pam_radius_auth ကို ကန့်သတ်ချက်များဖြင့် ချိတ်ဆက်သည်-

• skip_passwd - အသုံးပြုသူ၏ စကားဝှက်ကို RADIUS Multifactor ဆာဗာသို့ ပို့ခြင်းကို ပိတ်သည် (၎င်းကို သိရှိရန် မလိုအပ်ပါ)။
• client_id — VPN အရင်းအမြစ်ဆက်တင်များမှ သက်ဆိုင်ရာ parameter ဖြင့် [NAS-Identifier] ကို အစားထိုးပါ။
  ဖြစ်နိုင်ချေရှိသော ကန့်သတ်ချက်များအားလုံးကို ဖော်ပြထားပါသည်။ module အတွက်စာရွက်စာတမ်း.

ဒုတိယနှင့် တတိယလိုင်းများတွင် သင်၏ဆာဗာရှိ လော့ဂ်အင်၊ စကားဝှက်နှင့် အသုံးပြုသူအခွင့်အရေးတို့ကို စနစ်အတည်ပြုခြင်းတွင် ဒုတိယအထောက်အထားစိစစ်ခြင်းအချက်တစ်ခု ပါဝင်သည်။

OpenVPN ကို ပြန်လည်စတင်ပါ။

$ sudo systemctl restart openvpn@server

Client စနစ်ထည့်သွင်းခြင်း။

အသုံးပြုသူ၏ လော့ဂ်အင်နှင့် စကားဝှက်အတွက် တောင်းဆိုချက်ကို ကလိုင်းယင့်ဖွဲ့စည်းမှုပုံစံဖိုင်တွင် ထည့်သွင်းပါ။

auth-user-pass

ကြည့်ရှုစစ်ဆေးခြင်း

OpenVPN client ကိုဖွင့်ပါ၊ ဆာဗာသို့ချိတ်ဆက်ပါ၊ သင်၏အသုံးပြုသူအမည်နှင့် စကားဝှက်ကိုထည့်ပါ။ Telegram bot သည် ခလုတ်နှစ်ခုဖြင့် ဝင်ရောက်ခွင့်တောင်းဆိုမှုကို ပေးပို့မည်ဖြစ်သည်။

ခလုတ်တစ်ခုက ဝင်ခွင့်ပြုသည်၊ ဒုတိယက ၎င်းကို ပိတ်ဆို့သည်။

ယခု သင်သည် သင်၏စကားဝှက်ကို ကလိုင်းယင့်တွင် လုံခြုံစွာသိမ်းဆည်းနိုင်ပြီဖြစ်သည်၊ ဒုတိယအချက်မှာ သင်၏ OpenVPN ဆာဗာအား ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်းမှ စိတ်ချယုံကြည်စွာ ကာကွယ်နိုင်မည်ဖြစ်သည်။

တစ်ခုခုအဆင်မပြေရင်

မည်သည့်အရာမှ မလွတ်သွားကြောင်း ဆက်တိုက်စစ်ဆေးပါ-

• စကားဝှက်သတ်မှတ်ထားသည့် OpenVPN ဖြင့် ဆာဗာပေါ်တွင် အသုံးပြုသူတစ်ဦးရှိသည်။
• ဆာဗာသည် လိပ်စာ radius.multifactor.ru သို့ UDP အပေါက် 1812 မှတစ်ဆင့် ဝင်ရောက်နိုင်သည်။
• NAS-Identifier နှင့် Shared Secret ဘောင်များကို မှန်ကန်စွာ သတ်မှတ်ထားပါသည်။
• တူညီသောဝင်ရောက်မှုရှိသောအသုံးပြုသူတစ်ဦးကို Multifactor စနစ်တွင်ဖန်တီးထားပြီး VPN အသုံးပြုသူအုပ်စုအား ဝင်ရောက်ခွင့်ပေးထားပါသည်။
• အသုံးပြုသူသည် Telegram မှတစ်ဆင့် အထောက်အထားစိစစ်ခြင်းနည်းလမ်းကို ပြင်ဆင်သတ်မှတ်ထားသည်။

OpenVPN ကို အရင်က မသတ်မှတ်ရသေးရင် ဖတ်ပါ။ အသေးစိတ်ဆောင်းပါး.

ညွှန်ကြားချက်များကို CentOS 7 တွင် နမူနာများဖြင့် ပြုလုပ်ထားသည်။

source: www.habr.com