OpenVPN - cache passwords

Pěkný den,
ve výchozím nastavení OpenVPN hlásí klient následující varování. Řešení je snadné, do konfiguračního souboru klienta stačí přidat parametr “auth-nocache”. Je nějaký důvod, proč se tak ve výchozím stavu neděje?

WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this

1 Like

Prosím o zprávu, jestli to bude v Turris OS 3.10 výše uvedené nějak reflektováno nebo zda-li je možné varování z hlediska bezbečnosti bez obav ignorovat.

Tohle si muzes zmenit sam za pomoci “auth-nocache” v ovpn config souboru. Pripadne v ramci startovani sluzby toto predat pomoci “–auth-nocache” parametru ( openvpn --auth-nocache --config my_turris.ovpn ) . Tohle zadna aktualizace opravovat nejspis nebude (to neni bug, ale vychytavka :slight_smile: . V podstate to muzes ignorovat.

1 Like

Že lze danou záležitost řešit doplněním příslušného parametru uvádím ve své průvodní zprávě.

Varování, kdy se mohou ukládat citlivá data do mezipaměti mě u bezpečného routeru nepřijde úplně v pořádku, zejména když je oprava velmi jednoduchá.

Nevidím proto důvod, proč by u nových konfigurací OpenVPN nemělo být tohle řešeno a ano, ostatní si mohou příslušné přidat ručně.

1 Like

Uz to chapu, chtel by si videt auth-nocache v template configu pro openvpn dodavanym Turrisem. V tomto smeru je to 50/50 bezpecnost vs uzivatelsky komfort. Hromada uzivatelu by si razem zacala stezovat, ze museji porad zadavat jmeno/heslo a budou se pak ptat , kde to vypnout/zapnout (a jak). --> navic pak v logu uz neni tak pekna hlaska proc/jak to resit.

Z pohledu bezpecnosti, mi to jako velka dira neprijde. Resp. mysleno : jako pokud uz by se nekdo dostal na muj router aby se pokusil cist data z ramky mam nejspis vetsi bezpecnostni diru jinde.

Ono obecne ve FORISu “vpn” cast by si zaslouzila par vylepseni z pohledu moznosti nastavit par esencialnich parametru aniz by uzivatel musel do shellu ci do LUCI.

Implementace OpenVPN v Turris OS není postavena na heslech, ověřování se řeší výměnou klíčů, takže k opětovnému zadávání hesel nedojde. Zároveň nejde jen o paměť routeru, ale také klienta, který je z podstaty zranitelnější.

Pokud se teď někdo chystá napsat, že právě proto, že Turris OS používá klíče, je nastavení “auth-nocache” irelevantní a má to řádně podložené, sem s tím, to je přesně to, na co se dále ptám ve svých zprávách a co mi zatím nikdo neodhalil.

2 Likes

Ohledne bezpecnosti na strane klienta , na openvpn foru k tomuto tematu je par vlaken. V jednom (rok starem ovsem :frowning: ) se zminuje, ze pri pouziti auth-nocache , na strane klienta pouzivajici Windows je toto reflektovano pro openvpn.exe process nikoliv vsak pro process, ktery se stara o “GUI”, ten to ma ulozene kdesi v registrech. Pred par mesici to uz bylo fixnuto.

EDIT: na OSX TunnelBlick tento neduh nema. Kdyby se po tom nekdo pidil.