Вот чтобы не было воровства аутентификационных токенов на клиенте, надо авторизовываться по ключам, а секретные ключи хранить на аппаратном токене. Тогда чтобы спереть ключ, нужно будет железяку спереть. Физически.
openvpn так может, ssh твк может, микрософтовская реализация SSTP тоже может. А свободные даже не пытаются.
Ну и с session cookiie тоже есть определенные проблемы. Для VPN понятие session как-то не определено. Да и http у нас session less. Поэтому устаревание session cookie это примерно такой же security theater как насильственная смена пароля раз в две недели.
Что касвется разнесения хранилизща авторизационной информации и шлюда VPN по разным устройством, то это да, у данной защитной меры есть своей use case. Но у меня-то не коропоративная сеть. Стоит одна виртуалка в провайдерском датацентре, а все остальные - ее клиенты. Поэтому разнесение авторизационной БД и VPN-сервера по разным процессам в этой виртуалке вряд ли поможет. Хотя ... если засунуть vpn-сервер в chroot, и отобрать у него все привилелгии кроме CAP_NET_ADMIN и CAP_NET_RAW...
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
branchandroot
no subject
Date: 2024-06-26 04:37 am (UTC)Вот чтобы не было воровства аутентификационных токенов на клиенте, надо авторизовываться по ключам, а секретные ключи хранить на аппаратном токене. Тогда чтобы спереть ключ, нужно будет железяку спереть. Физически.
openvpn так может, ssh твк может, микрософтовская реализация SSTP тоже может. А свободные даже не пытаются.
Ну и с session cookiie тоже есть определенные проблемы. Для VPN понятие session как-то не определено. Да и http у нас session less. Поэтому устаревание session cookie это примерно такой же security theater как насильственная смена пароля раз в две недели.
Что касвется разнесения хранилизща авторизационной информации и шлюда VPN по разным устройством, то это да, у данной защитной меры есть своей use case. Но у меня-то не коропоративная сеть. Стоит одна виртуалка в провайдерском датацентре, а все остальные - ее клиенты. Поэтому разнесение авторизационной БД и VPN-сервера по разным процессам в этой виртуалке вряд ли поможет. Хотя ... если засунуть vpn-сервер в chroot, и отобрать у него все привилелгии кроме CAP_NET_ADMIN и CAP_NET_RAW...