Это действительно зависит от содержания рассматриваемого сайта и кэширующейся схемы, которую Вы используете.
Я посмотрел на этот сценарий ранее для сайта очень интенсивного трафика (1M + uniques ежедневно), и мы закончили тем, что использовали Nginx и Apache без Лака. Это происходило из-за существующих методов кэширования и суммы динамического контента на странице, таким образом, мы только сможем иметь изображения кэша Лака и статические файлы как CSS и js. Во время тестирования это стало вопросом о Nginx или Varnish, с тех пор как Вы мы хотели сохранить Apache в конфигурации. Сравнительное тестирование, которое мы сделали, показало Nginx, выполненный быстрее, чем Лак в большом объеме, таким образом, это - путь, которым мы пошли.
Одна вещь, которую мы, возможно, сделали, но не сделали, будет состоять в том, чтобы загрузить динамические разделы страницы в отдельном запросе и затем вставить содержание в браузер, который позволил бы нам использовать Лак для кэширования большего количества объектов при передаче динамических элементов Apache и обслуживании статического содержания через Nginx на неудачных обращениях в кэш.
До регистрирующейся проблемы необходимо будет, скорее всего, записать сценарии, которые будут анализировать/объединять журналы вместе, и затем можно запустить скрипты статистики против журналов слияния. Я полагаю, что существуют некоторые хорошие инструменты слияния журнала там, но могут' думать о том в данный момент.
Пароль запроса - это кодовая фраза, используемая для дешифрования ключа. Это единственный способ действительно сделать «пароль» и ключ.
Вы действительно можете подтвердить только паролем или ключом, но не обоими. Если у вас включены оба метода, он сначала попробует аутентификацию по ключу, а если это не удастся, он вернется к аутентификации по паролю.
Отсутствие парольной фразы на ключе позволяет кому-то имитировать вашу личность, если это произойдет возьмите ключ.
Я бы посоветовал выяснить, почему интервеб-сайт говорит, что вы не должны использовать парольные фразы для ключей, и посмотреть, действительно ли это проблема.
Функция OpenVPN, которую вы ищете, которая позволит серверу аутентифицировать клиентов на основе как их сертификата, так и учетных данных, - это auth-user- пройти проверку
. Эта функция позволяет серверу передавать имя пользователя / пароль, предоставленные удаленным пользователем, сценарию, который выполняет аутентификацию. На этом этапе вы можете проверить учетные данные по всему, что захотите - PAM, RADIUS, LDAP, дымовые сигналы и т. Д.
Я ничего не знаю о прошивках "Tomato", поэтому я даже не буду пытаться дать вам шаг за шагом здесь. Я произвел быстрый поиск и подозреваю, что вы можете использовать опцию OpenVPN «Custom Configuration», чтобы включить ссылку auth-user-pass-verify
. Вам понадобится сценарий для выполнения аутентификации.
auth-user-pass-verify - это то, что нужно сделать. Кроме того, вы можете заставить имя пользователя auth-user должно быть сертифицированным CN вы также можете заставить openvpn устанавливать только одно соединение для каждого сертификата за раз.
Таким образом, «имитатор» должен иметь правильного пользователя по сравнению с сертификатом CN и правильный проход и он должен входить в систему в то время, когда реальный владелец doenst
Вдобавок вы можете подумать о IDS, в зависимости от того, какую из них вы выберете, вы можете даже сузить ее, например, допустимые диапазоны внешних IP-адресов, время входа в систему и так далее.
Любой открытый сертификат должен быть немедленно отозван. Сервер подписи должен быть отключен от сети - передайте ключ через USB - тогда у вас будет действительно надежный безопасный доступ.
и нет, вам не следует вводить пароль для сертификата.
Но если вы действительно хотите, чтобы вы могли использовать пароль аутентификации и сертификат одновременно не будет никакого отката или чего-то подобного.
Сначала openvpn будет использовать пароль сертификата для расшифровки закрытого ключа, чтобы установить соединение - затем пользователь авторизации запускает сервер автоматически - если учетные данные неверны, вы вылетаете.
Однако если злоумышленник получит обычные учетные данные, и у вас уже есть проблемы, и высока вероятность, что он получил и пароль сертификата.
Так что я не вижу здесь реальной выгоды, только множество недостатков и неправильное ощущение большей безопасности.
]Я следовал этому руководству (с TomatoUSB Shibby 1.28 на моем Asus N66U): http://www.dd-wrt.com/wiki/index.php/OpenVPN Это может вам очень помочь.