OpenVPN: защитить ключ / сертификат / conf ваших клиентов от кражи?

Когда вы будете "кошачьи" файлы вместе, вы получите дополнительную разметку, которая вам не нужна. Примечательно, что у вас будут теги < html > и , которые испортят визуализацию. Также имеется несколько разделов < head > . Эти страницы не выглядят так, как будто они используют Javascript, но я не проверял внимательно - сталкивающиеся пространства имен Javascript также могут испортить вам этот подход.

Для такого небольшого набора HTML-страниц лучше всего сделать это вручную или создать объединенный HTML-файл (CHM). Однако существуют и другие способы:

• https://stackoverflow.com/questions/19866929/merge-two-html-files-into-master-html-file

Если пароль принят, может потребоваться некоторое время, прежде чем будет представлена оболочка. В этом случае сервер, вероятно, выполняет поиск имен. Продолжительность тайм-аута зависит от количества настроенных серверов имен. Подключение может быть даже прервано клиентом, поскольку он считает, что ничего не происходит. Если повторить попытку через несколько секунд, вы сможете успешно войти в систему.

Это поведение можно отключить в /etc/ssh/sshd _ config , установив UseDNS no или настроив службу имен правильно, чтобы можно было найти узел.

За очень небольшим исключением, если у кого-то в руках ваше оборудование, они могут дублировать все, просто получив доступ и скопировав все хранилище.

Нет дополнительного шифрования, которое помогло бы. Если вы шифруете диск, ключ шифрования диска должен быть где-то читаемым. Шифрование диска бесполезно в вашем сценарии.

Существует аппаратное обеспечение, которое невозможно легко дублировать, например смарт-карты. Однако даже если подключить считыватель смарт-карт к RPi, вор может просто украсть карту вместе с Pi.

Можно защитить от кражи (или заимствования) карты Pi или SD, если карта SD зашифрована и ключ недоступен для вора . Это означает, что вы или кто-то, кому вы доверяете, должны ввести пароль или вставить SD-карту, которая содержит ключ шифрования для USB-ключа, для загрузки Pi. Это не идеальная защита: кто-то может произвести дамп ОЗУ - но поскольку ОЗУ спаяно на Pi, это относительно сложные аппаратные атаки. Если у вас бюджет RPi, вам, вероятно, не нужен такой уровень сопротивления.

Существуют аппаратные платформы со встроенным хранилищем ключей, защищенным от несанкционированного доступа: TPM на платформах ПК, система на чипах ARM с TrustZone и аппаратным корнем доверия (одного TrustZone как функции ЦП недостаточно). Стоимость оборудования на порядок больше, чем Raspberry Pi. Обратите внимание, что даже эти системы не предотвратят кражу; они только помешают вору дублировать клиентское устройство.

Другой путь к защите - физическая защита: поместите устройство в запертый ящик, надежно прикрепленный к строительному приспособлению.

Если вы не можете запретить противникам физический доступ к клиентскому устройству, то вы не можете запретить им украсть ваши ключи. Все, что вы можете сделать, это попытаться обнаружить кражу. Например, если несколько клиентов обращаются с одним и тем же сертификатом клиента, то определенно есть что-то неправильное (но вы столкнетесь с трудным решением, если не можете сказать, какой из них является законным: разрешить доступ ко всем или запретить доступ к законному).