The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator
При применении двухфакторной аутентификации, кроме традиционного логина/пароля
или ключа требуется ввести код подтверждения, получаемый с устройства, заведомо
принадлежащего владельцу аккаунта. Наиболее простым способом является
использование открытого проекта  Google Authenticator, который предоставляет
мобильное приложение для генерации одноразовых паролей (TOTP) и PAM-модуль для
установки на стороне сервера.

На сервере устанавливаем PAM-модуль и утилиту настройки, которые во многих
дистрибутивах содержится в пакете google-authenticator:

   sudo yum install google-authenticator

Устанавливаем на мобильный телефон приложение Google Authenticator, которое
доступно для Android, iOS, Firefox OS и других платформ.

На сервере под учётной записью пользователя, для которого хотим включить
двухфакторную аутентификацию, запускаем команду:

    google-authenticator

которая отобразит картинку с QRcode, которую необходимо снять через камеру
телефона из мобильного приложения Google Authenticator, а также покажет коды
экстренного восстановления, которые позволят восстановить доступ в случае
потери смартфона.

Для включения  двухфакторной аутентификации в SSH на сервере активируем
PAM-модуль, добавив в /etc/pam.d/sshd строку:
 
   auth required pam_google_authenticator.so
 
В конфигурации OpenSSH /etc/ssh/sshd_config активируем опцию ChallengeResponseAuthentication:
  
   ChallengeResponseAuthentication yes

Не забываем перезапустить sshd:

   sudo service sshd restart

Теперь при попытке входа по SSH потребуется ввести не только пароль, но и
действующий несколько секунд одноразовый код, который следует получить из
мобильного приложения.

   Verification code: ********
   Password: ********



Кроме SSH, на рабочей станции можно добавить поддержку двухфакторной
аутентификации в экранный менеджер GDM, для этого добавим в файл
/etc/pam.d/gdm-password строку:
 
   auth required pam_google_authenticator.so

При следующем входе, кроме пароля GDM  запросит одноразовый код подтверждения.
 
Ключи: ssh, gdm, password, auth, totp, pam / Лицензия: CC-BY
Раздел:    Корень / Безопасность / SSH

Обсуждение [ RSS ]
  • 1.1, Аноним (-), 20:28, 02/10/2014 [ответить]  []     [к модератору]
  • +/
    Гуглозонд в ssh - это здорово придумано.
     
     
  • 2.3, unscrubber (?), 05:02, 03/10/2014 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +/
    не хочешь, не ешь, есть и другие реализации OTP (и PAM модули) c сорцами - http://motp.sourceforge.net
     
     
  • 3.10, bMgue (?), 19:04, 10/11/2014 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Или, например, OATH Toolkit:
    http://www.nongnu.org/oath-toolkit/index.html
     
  • 2.7, Crazy Alex (ok), 16:58, 05/10/2014 [^] [^^] [^^^] [ответить]  []     [к модератору]
  • +/
    Оно, если ты не заметил, открытое и имеет RFC. Неплохо бы думать иногда, а не только включать условный рефлекс на слово "гугл".
     

  • 1.2, Sadok (??), 20:38, 02/10/2014 [ответить]  [] []     [к модератору]
  • +/
    >которая отобразит картинку с QRcode

    поржал

     
     
  • 2.4, aurved (?), 09:55, 03/10/2014 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    да, пожалуй, на серверах таки обычно нет Иксов

     
     
  • 3.5, spectator (??), 12:00, 05/10/2014 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    Там псевдографика обычными квадратиками
     
     
  • 4.6, Sadok (ok), 12:41, 05/10/2014 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    > Там псевдографика обычными квадратиками

    ах! точно )) спасибо.

     

  • 1.8, Аноним (-), 23:46, 15/10/2014 [ответить]  []     [к модератору]
  • +/
    Суть этих кодов? На обоих устройствах имеется какой-то ключ (переданный через qr код, видимо), в зависимости от времени на его основе получается какая-то короткая хеш фраза и сверяется?
     
     
  • 2.9, Аноним (-), 12:20, 20/10/2014 [^] [^^] [^^^] [ответить]      [к модератору]
  • +/
    https://ru.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру