IT News: Digital Camera, OS, Laptop, Smartphone, Smart TV, Sound...

The Author's Project by Valeri N.Kravchuk
Сайт проверен Dr.Web
Меню сайта
  • Главная страница
  • Информация о сайте
  • Дневник
  • Каталог файлов
  • Обратная связь
  • Каталог сайтов
  • FAQ
  • Доска объявлений
  • Форум
  • Фотоальбом
  • Категории раздела
    Автомобильные гаджеты, ремонт... [144]
    Безопасность IT [404]
    Блоки питания, Power Banks, зарядки... [512]
    Видеорегистраторы [188]
    Гаджеты для спорта и здоровья... [191]
    Гаджеты, аксессуары... [627]
    Измерительная техника, инструменты [446]
    Накопители данных [233]
    Нетбуки, Ноутбуки, Ультрабуки [691]
    Мультиварки, блендеры и не только... [164]
    Планшеты [764]
    Радар-детекторы [26]
    Роботы-пылесосы [40]
    Своими руками [366]
    Сети, сетевые технологии, оборудование... [273]
    Смартфоны [4963]
    Фотокамеры, объективы, искусство фотографии.. [541]
    Умный дом [53]
    Электронные книги [102]
    CB, LPD, PMR- связь... [170]
    DECT, IP-телефоны [18]
    Drones, boats, cars... [109]
    electric cars [35]
    GPS-навигаторы, трекеры... [51]
    Linux и не только [3983]
    mini computers и не только... [412]
    News IT, Это интересно, ликбез... [1121]
    Smart TV, UltraHD, приставки, проекторы... [416]
    Smart Watch [269]
    Sound: наушники, плееры, усилители... [619]
    Windows 10... [301]
    Windows 11 [37]
    Погода

  • Метеорадар БРЕСТ
  • Погода в Бресте от www.yr.no

    Яндекс.Погода БРЕСТ

  • Интересные ссылки

    COMPIZOMANIA

    Наш опрос
    Оцените мой сайт
    Всего ответов: 1347
    Статистика
    Анализ веб сайтов

    Яндекс.Метрика

    Рейтинг@Mail.ru Яндекс цитирования

    Russian America Top. Рейтинг ресурсов Русской Америки.

    eXTReMe Tracker

    Правильный CSS!


    Онлайн всего: 127
    Гостей: 127
    Пользователей: 0
    Locations of visitors to this page
    Форма входа
    Главная » 2015 » Июнь » 23 » Как в Linux получить доступ через SSH с помощью одноразовых паролей
    10:38
    Как в Linux получить доступ через SSH с помощью одноразовых паролей

    Как в Linux получить доступ через SSH с помощью одноразовых паролей

    Оригинал: How to secure SSH login with one-time passwords on Linux
    Автор: Dan Nanni
    Дата публикации: March 30, 2015
    Перевод: Н.Ромоданов
    Дата перевода: июнь 2015 г.

    Как кто-то сказал, безопасность не результат, а процесс. Хотя сам по себе протокол SSH является криптографически безопасным, кто-нибудь может создать хаос в сервисе SSH, если он не ведется правильно, будь то использование слабых паролей, скомпрометированных ключей или устаревшие клиентских программ SSH.

    Что касается аутентификации SSH, то аутентификация с открытым ключом в общем считается более безопасной, чем аутентификации по паролю. Но использование ключа аутентификации на самом деле нежелательно и даже менее безопасно в случае, если вы входите с публичного компьютера или компьютера общего пользования, в которых всегда есть место таким вещам, как стелс-кейлоггеры или сканеры памяти. Если вы не можете довериться компьютеру, с которого работаете, то лучше воспользоваться чем-нибудь иным. Это как раз такой случай, когда могут пригодиться "одноразовые пароли". Как следует из названия, каждый одноразовый пароль подходит для однократного использования. Такие одноразовые пароли можно безопасно использовать в ненадежных средах, поскольку даже если их украдут, ими нельзя воспользоваться повторно.

    Один из способов генерации одноразовых паролей — использование сервиса Google Authenticator. В этой статье я собираюсь рассказать еще об одном способе создания одноразовых паролей для входа через SSH: о пакете OTPW, создающим одноразовые пароли для входа в систему. В отличие от сервиса Google Authenticator, вам не потребуется полагаться на средства генерации одноразовых паролей и их проверки, осуществляемые какой-либо третьей стороной.

    Что такое OTPW?

    OTPW состоит из генератора одноразовых паролей и процедур проверки, интегрированных в PAM. В OTPW, одноразовые пароли генерируются с помощью генератора заранее и передаются пользователю надежным способом (например, в напечатанном на бумаге виде). Затем криптографический хэш сгенерированных паролей сохраняется на сервере SSH. Когда пользователь входит в систему с одноразовым паролем, модуль PAM пакета OTPW проверяет пароль и помечает его с тем, чтобы его нельзя было использовать повторно.

    Шаг 1: Установка и конфигурирование пакета OTPW на Linux

    Debian, Ubuntu или Linux Mint:

    Установите пакеты OTPW с помощью команды apt-get.

    $ sudo apt-get install libpam-otpw otpw-bin
    

    Откройте с помощью текстового редактора конфигурационный файл PAM для SSH (/etc/pam.d/sshd) и закомментируйте следующую строку (для того, чтобы отключить аутентификацию по паролю).

    #@include common-auth
    

    и добавьте следующие две строки (чтобы включить аутентификацию с помощью одноразовых паролей):

    auth required pam_otpw.so
    session optional pam_otpw.so
    

     

    Fedora или CentOS/RHEL:

    В системах, базирующихся на Red Hat, пакет OTPW не доступен в двоичным виде. Поэтому давайте соберем пакет OTPW из исходного кода.

    Во-первых, установите пакеты, необходимые для сборки:

    $ sudo yum git gcc pam-devel
    $ git clone https://www.cl.cam.ac.uk/~mgk25/git/otpw
    $ cd otpw 
    

    Откройте в текстовом редакторе файл Makefile и отредактируйте строку, которая начинается с "PAMLIB=" следующим образом.

    На 64-разрядной системе:

    PAMLIB=/usr/lib64/security
    

    На 32-разрядной системе:

    PAMLIB=/usr/lib/security
    

    Откомпилируйте и установите пакет. Обратите внимание на то, что при установке пакета сервер SSH будет автоматически перезапущен. Так что будьте готовы к потере соединения SSH в случае, если вы его используете.

    $ make
    $ sudo make install 
    

     

     

     

    $ sudo grep sshd /var/log/audit/audit.log | audit2allow -M mypol
    $ sudo semodule -i mypol.pp 
    

    Затем с помощью текстового редактора откройте конфигурационный файл PAM для SSH (/etc/pam.d/sshd), и закомментируйте следующую строку (чтобы отключить аутентификацию по паролю).

    #auth substack password-auth
    

    и добавьте следующие две строки (чтобы включить аутентификацию с помощью одноразовых паролей):

    auth required pam_otpw.so
    session optional pam_otpw.so
    

    Шаг 2: Конфигурируем сервер SSH для использование одноразовых паролей

    Следующим шагом является настройка сервера SSH так, чтобы он мог принимать одноразовые пароли.

    Откройте с помощью текстового редактора файл /etc/ssh/sshd_config и задайте следующие три параметра. Убедитесь в том, что вы добавили следующие строки только один раз, поскольку в противном случае сервер SSH работать не будет.

    UsePrivilegeSeparation yes
    ChallengeResponseAuthentication yes
    UsePAM yes
    

    Вы также должны отключить аутентификацию по паролю, используемую по умолчанию. При необходимости включите аутентификацию по открытым ключам с тем, чтобы у вас осталась возможность использовать такую аутентификацию в случае, если у вас нет одноразовых паролей.

    PubkeyAuthentication yes
    PasswordAuthentication no
    

    Теперь перезапустите сервер SSH.

    Debian, Ubuntu или Linux Mint:

    $ sudo service ssh restart
    

    Fedora или CentOS/RHEL 7:

    $ sudo systemctl restart sshd
    

    Шаг 3: С помощью OTPW создаем одноразовые пароли

    Как уже упоминалось ранее, вам нужно создать одноразовые пароли заранее и сохранить их на сервере SSH. Для этого запустите команду otpw-gen как пользователь, в роли которого вы будет входить в систему.

    $ cd ~
    $ otpw-gen > temporary_password.txt 
    

     

    Вам будет предложено установить префикс пароля. При последующем входе в систему вам потребуется ввести этот префикс пароля и одноразовый пароль. По существу префикс пароля является еще одним уровнем защиты. Даже если лист с паролями попадает в чужие руки, префикс пароль вынудит использовать для подбора метод грубой силы (brute-force).

    После того, как префикс пароля будет установлен, команда сгенеририрует 280 одноразовых паролей и сохранит их в текстовом файле (например, в temporary_password.txt). Каждому паролю (его длина 8 символов по умолчанию) предшествует трехзначный индекс. Вы должны распечатать файл и носить распечатку с собой.

     

    Вы также увидите созданный файл ~/.otpw, в котором хранятся криптографические хеши этих паролей. Первые три цифры в каждой строке указывают индекс пароля, который будет использоваться для входа в систему через SSH.

    $ more ~/.otpw 
    OTPW1
    280 3 12 8
    191ai+:ENwmMqwn
    218tYRZc%PIY27a
    241ve8ns%NsHFmf
    055W4/YCauQJkr:
    102ZnJ4VWLFrk5N
    2273Xww55hteJ8Y
    1509d4b5=A64jBT
    168FWBXY%ztm9j%
    000rWUSdBYr%8UE
    037NvyryzcI+YRX
    122rEwA3GXvOk=z
    

    Проверяем одноразовые пароли с помощью SSH

    Теперь давайте войдите на сервер SSH обычным образом:

    $ ssh user@remote_host 
    

    Если установлен пакет OTPW, то вы увидите несколько иной запрос пароля:

    Password 191:
    

    Теперь откройте свой список паролей и найдите в нем индекс "191"

    023 kBvp tq/G 079 jKEw /HRM 135 oW/c /UeB 191 fOO+ PeiD 247 vAnZ EgUt
    

    Согласно списку указанному выше, одноразовый пароль для индекса "191" будет является "fOO+PeiD". Вы должны добавить к нему ваш префикс пароля. Например, если ваш префикс пароля "000", то в качестве текущего одноразового пароля необходимо ввести "000fOO+PeiD".

    После того как вы успешно вошли, использованный пароль автоматически будет аннулирован. Если вы проверите файл ~/.otpw, вы увидите, что соответствующая строка будет заменена на "---------------", что означает, что пароль "191" был аннулирован.

    OTPW1
    280 3 12 8
    ---------------
    218tYRZc%PIY27a
    241ve8ns%NsHFmf
    055W4/YCauQJkr:
    102ZnJ4VWLFrk5N
    2273Xww55hteJ8Y
    1509d4b5=A64jBT
    168FWBXY%ztm9j%
    000rWUSdBYr%8UE
    037NvyryzcI+YRX
    122rEwA3GXvOk=z
    

    Заключение

    В этой статье я рассказал о том , как с помощью пакета OTPW создать одноразовый пароль входа через SSH. Вы должны понимать, что распечатанный список паролей можно считать менее симпатичным вариантом токена безопасности двухфакторной аутентификации. Тем не менее, это проще, и вы не полагаетесь на какую-либо третью сторону при ее реализации. Какой бы механизм вы не использовали для создания одноразовых паролей, каждый из них может быть полезен в случае, когда вам нужно войти на сервер SSH с общественного компьютера, не обладающего достаточной надежностью. Не стесняйтесь поделиться своим опытом или мнением на эту тему.

     

    http://rus-linux.net/MyLDP/sec/SSH-login-with-one-time-passwords.html

    Категория: Linux и не только | Просмотров: 939 | Добавил: laptop | Рейтинг: 0.0/0
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк слабее льва и тигра, но в цирке волк не выступает!
    Волк - единственный из зверей, который может пойти в бой на более сильного противника.
    Если же он проиграл бой, то до последнего вздоха смотрит в глаза противника. После этого умирает...

    Праздники сегодня

    Поиск
    Календарь
    Архив записей
    Друзья сайта
  • Официальный блог
  • JEEP - the best! Mercedes - the best! Автомобильный портал города Бреста: технические характеристики с фото, авторынок, автоспорт...
    Наша кнопка
    IT новости с моего лаптопа...

    Внимание!
    Администратор сайта laptop.ucoz.ru не несет ответственности за содержание рекламных объявлений. Все используемые на сайте зарегистрированные товарные знаки принадлежат своим законным владельцам! Используемая со сторонних источников информация публикуется с обязательными ссылками на эти источники.
    Copyright Valeri N.Kravchuk © 2007-2024