The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Применение двухфакторной аутентифик..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Применение двухфакторной аутентифик..."  +/
Сообщение от auto_tips (??) on 02-Окт-14, 20:28 
При применении двухфакторной аутентификации, кроме традиционного логина/пароля или ключа требуется ввести код подтверждения, получаемый с устройства, заведомо принадлежащего владельцу аккаунта. Наиболее простым способом является использование открытого проекта  [[https://code.google.com/p/google-authenticator/ Google Authenticator]], который предоставляет мобильное приложение для генерации одноразовых паролей (TOTP) и PAM-модуль для установки на стороне сервера.

На сервере устанавливаем PAM-модуль и утилиту настройки, которые во многих дистрибутивах содержится в пакете google-authenticator:

   sudo yum install google-authenticator

Устанавливаем на мобильный телефон приложение Google Authenticator, которое доступно для [[https://play.google.com/store/apps/details?id=com.google.and... Android]], [[https://itunes.apple.com/en/app/google-authenticator/id38849... iOS]], [[https://marketplace.firefox.com/app/gauth-authenticator/ Firefox OS]] и других платформ.

На сервере под учётной записью пользователя, для которого хотим включить двухфакторную аутентификацию, запускаем команду:

    google-authenticator

которая отобразит картинку с QRcode, которую необходимо снять через камеру телефона из мобильного приложения Google Authenticator, а также покажет коды экстренного восстановления, которые позволят восстановить доступ в случае потери смартфона.

Для включения  двухфакторной аутентификации в SSH на сервере активируем PAM-модуль, добавив в /etc/pam.d/sshd строку:

   auth required pam_google_authenticator.so

В конфигурации OpenSSH /etc/ssh/sshd_config активируем опцию ChallengeResponseAuthentication:
  
   ChallengeResponseAuthentication yes

Не забываем перезапустить sshd:

   sudo service sshd restart

Теперь при попытке входа по SSH потребуется ввести не только пароль, но и действующий несколько секунд одноразовый код, который следует получить из мобильного приложения.

   Verification code: ********
   Password: ********

Кроме SSH, на рабочей станции можно добавить поддержку двухфакторной аутентификации в экранный менеджер GDM, для этого добавим в файл /etc/pam.d/gdm-password строку:

   auth required pam_google_authenticator.so

При следующем входе, кроме пароля GDM  запросит одноразовый код подтверждения.

URL: http://www.cyberciti.biz/open-source/howto-protect-linux-ssh.../ http://wiki.gentoo.org/wiki/Google_Authenticator#OpenSSH https://google-authenticator.googlecode.com
Обсуждается: https://www.opennet.ru/tips/info/2856.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Применение двухфакторной аутентификации для SSH и GDM средст..."  +/
Сообщение от Аноним (??) on 02-Окт-14, 20:28 
Гуглозонд в ssh - это здорово придумано.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Применение двухфакторной аутентификации для SSH и GDM средст..."  +/
Сообщение от unscrubber on 03-Окт-14, 05:02 
не хочешь, не ешь, есть и другие реализации OTP (и PAM модули) c сорцами - http://motp.sourceforge.net
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Применение двухфакторной аутентификации для SSH и GDM средст..."  +/
Сообщение от bMgue on 10-Ноя-14, 19:04 
Или, например, OATH Toolkit:
http://www.nongnu.org/oath-toolkit/index.html
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Применение двухфакторной аутентификации для SSH и GDM средст..."  +/
Сообщение от Crazy Alex (ok) on 05-Окт-14, 16:58 
Оно, если ты не заметил, открытое и имеет RFC. Неплохо бы думать иногда, а не только включать условный рефлекс на слово "гугл".
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Применение двухфакторной аутентификации для SSH и GDM средст..."  +/
Сообщение от Sadok (??) on 02-Окт-14, 20:38 
>которая отобразит картинку с QRcode

поржал

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Применение двухфакторной аутентификации для SSH и GDM средст..."  +/
Сообщение от aurved on 03-Окт-14, 09:55 
да, пожалуй, на серверах таки обычно нет Иксов

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Применение двухфакторной аутентификации для SSH и GDM средст..."  +/
Сообщение от spectator (??) on 05-Окт-14, 12:00 
Там псевдографика обычными квадратиками
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Применение двухфакторной аутентификации для SSH и GDM средст..."  +/
Сообщение от Sadok (ok) on 05-Окт-14, 12:41 
> Там псевдографика обычными квадратиками

ах! точно )) спасибо.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Применение двухфакторной аутентификации для SSH и GDM средст..."  +/
Сообщение от Аноним (??) on 15-Окт-14, 23:46 
Суть этих кодов? На обоих устройствах имеется какой-то ключ (переданный через qr код, видимо), в зависимости от времени на его основе получается какая-то короткая хеш фраза и сверяется?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Применение двухфакторной аутентификации для SSH и GDM средст..."  +/
Сообщение от Аноним (??) on 20-Окт-14, 12:20 
https://ru.wikipedia.org/wiki/Time-based_One-time_Password_A...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру