URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 99211
[ Назад ]

Исходное сообщение
"Раздел полезных советов: Применение двухфакторной аутентифик..."
Отправлено auto_tips , 02-Окт-14 20:28

При применении двухфакторной аутентификации, кроме традиционного логина/пароля или ключа требуется ввести код подтверждения, получаемый с устройства, заведомо принадлежащего владельцу аккаунта. Наиболее простым способом является использование открытого проекта  [[https://code.google.com/p/google-authenticator/ Google Authenticator]], который предоставляет мобильное приложение для генерации одноразовых паролей (TOTP) и PAM-модуль для установки на стороне сервера.
На сервере устанавливаем PAM-модуль и утилиту настройки, которые во многих дистрибутивах содержится в пакете google-authenticator:
   sudo yum install google-authenticator
Устанавливаем на мобильный телефон приложение Google Authenticator, которое доступно для [[https://play.google.com/store/apps/details?id=com.google.and... Android]], [[https://itunes.apple.com/en/app/google-authenticator/id38849... iOS]], [[https://marketplace.firefox.com/app/gauth-authenticator/ Firefox OS]] и других платформ.
На сервере под учётной записью пользователя, для которого хотим включить двухфакторную аутентификацию, запускаем команду:
    google-authenticator
которая отобразит картинку с QRcode, которую необходимо снять через камеру телефона из мобильного приложения Google Authenticator, а также покажет коды экстренного восстановления, которые позволят восстановить доступ в случае потери смартфона.
Для включения  двухфакторной аутентификации в SSH на сервере активируем PAM-модуль, добавив в /etc/pam.d/sshd строку:

   auth required pam_google_authenticator.so

В конфигурации OpenSSH /etc/ssh/sshd_config активируем опцию ChallengeResponseAuthentication:

   ChallengeResponseAuthentication yes
Не забываем перезапустить sshd:
   sudo service sshd restart
Теперь при попытке входа по SSH потребуется ввести не только пароль, но и действующий несколько секунд одноразовый код, который следует получить из мобильного приложения.
   Verification code: ********
   Password: ********
Кроме SSH, на рабочей станции можно добавить поддержку двухфакторной аутентификации в экранный менеджер GDM, для этого добавим в файл /etc/pam.d/gdm-password строку:

   auth required pam_google_authenticator.so
При следующем входе, кроме пароля GDM  запросит одноразовый код подтверждения.
URL: http://www.cyberciti.biz/open-source/howto-protect-linux-ssh.../ http://wiki.gentoo.org/wiki/Google_Authenticator#OpenSSH https://google-authenticator.googlecode.com
Обсуждается: http://www.opennet.me/tips/info/2856.shtml

Содержание

Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator,Аноним, 20:28 , 02-Окт-14
- Применение двухфакторной аутентификации для SSH и GDM средст...,unscrubber, 05:02 , 03-Окт-14
  - Применение двухфакторной аутентификации для SSH и GDM средст...,bMgue, 19:04 , 10-Ноя-14
- Применение двухфакторной аутентификации для SSH и GDM средст...,Crazy Alex, 16:58 , 05-Окт-14
Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator,Sadok, 20:38 , 02-Окт-14
- Применение двухфакторной аутентификации для SSH и GDM средст...,aurved, 09:55 , 03-Окт-14
  - Применение двухфакторной аутентификации для SSH и GDM средст...,spectator, 12:00 , 05-Окт-14
    - Применение двухфакторной аутентификации для SSH и GDM средст...,Sadok, 12:41 , 05-Окт-14
Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator,Аноним, 23:46 , 15-Окт-14
- Применение двухфакторной аутентификации для SSH и GDM средст...,Аноним, 12:20 , 20-Окт-14

Сообщения в этом обсуждении

"Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator"
Отправлено Аноним , 02-Окт-14 20:28

Гуглозонд в ssh - это здорово придумано.

"Применение двухфакторной аутентификации для SSH и GDM средст..."
Отправлено unscrubber , 03-Окт-14 05:02

не хочешь, не ешь, есть и другие реализации OTP (и PAM модули) c сорцами - http://motp.sourceforge.net

"Применение двухфакторной аутентификации для SSH и GDM средст..."
Отправлено bMgue , 10-Ноя-14 19:04

Или, например, OATH Toolkit:
http://www.nongnu.org/oath-toolkit/index.html

"Применение двухфакторной аутентификации для SSH и GDM средст..."
Отправлено Crazy Alex , 05-Окт-14 16:58

Оно, если ты не заметил, открытое и имеет RFC. Неплохо бы думать иногда, а не только включать условный рефлекс на слово "гугл".

"Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator"
Отправлено Sadok , 02-Окт-14 20:38

>которая отобразит картинку с QRcode
поржал

"Применение двухфакторной аутентификации для SSH и GDM средст..."
Отправлено aurved , 03-Окт-14 09:55

да, пожалуй, на серверах таки обычно нет Иксов

"Применение двухфакторной аутентификации для SSH и GDM средст..."
Отправлено spectator , 05-Окт-14 12:00

Там псевдографика обычными квадратиками

"Применение двухфакторной аутентификации для SSH и GDM средст..."
Отправлено Sadok , 05-Окт-14 12:41

> Там псевдографика обычными квадратиками
ах! точно )) спасибо.

"Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator"
Отправлено Аноним , 15-Окт-14 23:46

Суть этих кодов? На обоих устройствах имеется какой-то ключ (переданный через qr код, видимо), в зависимости от времени на его основе получается какая-то короткая хеш фраза и сверяется?

"Применение двухфакторной аутентификации для SSH и GDM средст..."
Отправлено Аноним , 20-Окт-14 12:20

https://ru.wikipedia.org/wiki/Time-based_One-time_Password_A...