OpenForum RSS: Раздел полезных советов: Двухфакторная аутентификация SSH с ... https://www.opennet.ru/openforum/vsluhforumID3/91953.html Все началось с того, что я приобрел YubiKey и захотел использовать его для двухфакторной аутентификации SSH. Я также хотел иметь возможность восстановить доступ к серверу на случай, если потеряю ключ. Информация о том, как это сделать, слишком разрознена, поэтому я написал собственное руководство.<br><br>Вещи, которые необходимо знать:<br><br>* HOTP -- это алгоритм генерации одноразового пароля на основе счетчика. Счетчик меняется каждый раз, когда генерируется новый пароль.<br>* TOTP -- алгоритм генерации пароля в зависимости от таймера, регулярно генерируется новый пароль. (30 секунд в этом случае).<br><br>В результате, вы входите через SSH, видите запрос пароля и вводите пароль, предоставленный OTP, системой одноразовых паролей (one-time password) от YubiKey.<br><br>Для аварийного доступа я настроил возможность аутентификации с помощью Android-приложения Google Authenticator. Я настраивал все на Debian Wheezy сервере, но это должно работать и для других похожих систем.<br><br>Вам необходимо установить libpam-oath на сервере (&gt;= 'А на этот случай у меня есть проездной'. (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/91953.html#20 Fri, 05 May 2017 07:33:52 GMT TOTP ME позволяет сделать то же самое на любой недорогой кнопочной мобиле с J2ME. Я проверял, it works.<br> Двухфакторная аутентификация SSH с использованием YubiKey (Crazy Alex) https://www.opennet.ru/openforum/vsluhforumID3/91953.html#19 Wed, 23 Oct 2013 09:17:22 GMT Смотря от чего защищаешься. Если от интернет-взломщиков всяких, и при этом хочешь ходить откуда угодно (то есть только ключами не обойдешься) - то как раз OTP будет отличным вариантом, даже без двухфакторки.<br><br>Собственно, есть куча случаев, когда вариант "блокнотик, а то и листок на мониторе со страшными паролями" будет очень надежным и удобным решением.<br><br>Мораль - прежде чем защищаться - стройте модель угроз.<br> Двухфакторная аутентификация SSH с использованием YubiKey (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/91953.html#18 Tue, 22 Oct 2013 06:33:30 GMT Не хами! Проходи мимо<br> Двухфакторная аутентификация SSH с использованием YubiKey (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/91953.html#17 Sun, 20 Oct 2013 10:56:59 GMT &gt; Ну как оно там зовется мне все равно :) <br>&gt; Главное что бы это было кому нибудь нужно, и еще было бы <br>&gt; неплохо что бы этот кто то еще и заплатил :) <br><br>Тебе надо? Ты и плати.<br><br>Пассажиров без тебя хватамбо.<br> Двухфакторная аутентификация SSH с использованием YubiKey (Filosof) https://www.opennet.ru/openforum/vsluhforumID3/91953.html#16 Tue, 15 Oct 2013 15:42:34 GMT &gt; Кто ж напишет PAM модуль для подтверждения по SMS, мне чёй-то так <br>&gt; в падлу.<br><br>Я там ниже ссылку на коллекцию motp-поделок дал - там должно быть что-то готовое стоящее.<br><br>Я лично СМСки шлю через внешний сервер - к нему стучусь через http rest. По сути скрипт-однострочник. Но для этой цели не пользовал - итак в телефоне стоит клиент-генератор.<br> смртря как настроить (Filosof) https://www.opennet.ru/openforum/vsluhforumID3/91953.html#15 Tue, 15 Oct 2013 15:39:44 GMT У меня сначала идёт запрос ОТП, потом стандартный пароль.<br>2 фактора + защита от перебора.<br><br>Для ленивых стандартное поведение - "авторизовывать по ключу, если нет ключа - запускать 2х факторность". Спасает при необходимости написания скриптов.<br>Система вообще гибкая - твори что хочешь. PAM же.<br><br>А вот "сервера YubiKey" меня пугают. Я б никому не доверял свой ключ.<br> 'А на этот случай у меня есть проездной'. (Filosof) https://www.opennet.ru/openforum/vsluhforumID3/91953.html#14 Tue, 15 Oct 2013 15:33:06 GMT Пакет libpam-google-authenticator есть для бубунты. Думаю бекпортировать в Дебиан не должно быть проблемой - он весьма автономен.<br><br>Делал на базе google-authenticator несколько серверов.<br>Решение вполне годное с парой минусов:<br>- Нужно мобильное устройство типа айОС/Андроид<br>- Нужно каждому пользователю прописать ключ персонально (в штатной схеме. Мож можно и один на всех - не пробовал).<br>Плюсы:<br>+ не надо СМСок - всё итак в "телефоне"<br>+ в Убунте ставится пакетиком из репа<br>+ Есть генератор QR кодов, чтоб не набирать сериализированный ключ руками.<br><br>HOTP - это стрёмный вариант. Везде рекомендуется иметь TOTP. Синхронизация по времени таки на порядок надёжней счётчиков. Особенно при использовании больше чем одним человеком.<br><br>Позже нашёл такой конструктор:<br>http://motp.sourceforge.net/<br>можно собрать авторизацию куда угодно, в каком угодно виде, и использовать в виде клиента что угодно. Думаю и к Гаусу и к Оаусу прикладывается.<br>Стандарты рулят. Желающие сами написать могут модуль куда угодно. Математика ж Двухфакторная аутентификация SSH с использованием YubiKey (Олег) https://www.opennet.ru/openforum/vsluhforumID3/91953.html#13 Sun, 06 Oct 2013 10:58:56 GMT Ну как оно там зовется мне все равно :)<br>Главное что бы это было кому нибудь нужно, и еще было бы неплохо что бы этот кто то еще и заплатил :)<br> Двухфакторная аутентификация SSH с использованием YubiKey (pavlinux) https://www.opennet.ru/openforum/vsluhforumID3/91953.html#12 Sun, 06 Oct 2013 10:18:13 GMT &gt; Проспонсируешь? :) <br><br>Краудфандинг или как там это зовётся. <br>