Pěkný den,
ve výchozím nastavení OpenVPN hlásí klient následující varování. Řešení je snadné, do konfiguračního souboru klienta stačí přidat parametr “auth-nocache”. Je nějaký důvod, proč se tak ve výchozím stavu neděje?
WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
Prosím o zprávu, jestli to bude v Turris OS 3.10 výše uvedené nějak reflektováno nebo zda-li je možné varování z hlediska bezbečnosti bez obav ignorovat.
Tohle si muzes zmenit sam za pomoci “auth-nocache” v ovpn config souboru. Pripadne v ramci startovani sluzby toto predat pomoci “–auth-nocache” parametru ( openvpn --auth-nocache --config my_turris.ovpn ) . Tohle zadna aktualizace opravovat nejspis nebude (to neni bug, ale vychytavka . V podstate to muzes ignorovat.
Uz to chapu, chtel by si videt auth-nocache v template configu pro openvpn dodavanym Turrisem. V tomto smeru je to 50/50 bezpecnost vs uzivatelsky komfort. Hromada uzivatelu by si razem zacala stezovat, ze museji porad zadavat jmeno/heslo a budou se pak ptat , kde to vypnout/zapnout (a jak). --> navic pak v logu uz neni tak pekna hlaska proc/jak to resit.
Z pohledu bezpecnosti, mi to jako velka dira neprijde. Resp. mysleno : jako pokud uz by se nekdo dostal na muj router aby se pokusil cist data z ramky mam nejspis vetsi bezpecnostni diru jinde.
Ono obecne ve FORISu “vpn” cast by si zaslouzila par vylepseni z pohledu moznosti nastavit par esencialnich parametru aniz by uzivatel musel do shellu ci do LUCI.
Implementace OpenVPN v Turris OS není postavena na heslech, ověřování se řeší výměnou klíčů, takže k opětovnému zadávání hesel nedojde. Zároveň nejde jen o paměť routeru, ale také klienta, který je z podstaty zranitelnější.
Pokud se teď někdo chystá napsat, že právě proto, že Turris OS používá klíče, je nastavení “auth-nocache” irelevantní a má to řádně podložené, sem s tím, to je přesně to, na co se dále ptám ve svých zprávách a co mi zatím nikdo neodhalil.
Ohledne bezpecnosti na strane klienta , na openvpn foru k tomuto tematu je par vlaken. V jednom (rok starem ovsem ) se zminuje, ze pri pouziti auth-nocache , na strane klienta pouzivajici Windows je toto reflektovano pro openvpn.exe process nikoliv vsak pro process, ktery se stara o “GUI”, ten to ma ulozene kdesi v registrech. Pred par mesici to uz bylo fixnuto.
EDIT: na OSX TunnelBlick tento neduh nema. Kdyby se po tom nekdo pidil.