The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Аутентификация, PAM, SSH

   Корень / Программы для администратора / Безопасность / Аутентификация, PAM, SSH

----* libssh - working SSH implementation by the mean of a library (Версия: 0.5.2 от 2011-09-18) [+]
[обсудить]
 Библиотека, предназначенная для интеграции поддержки SSH в программы на языке Си. Позволяет выполнять программы на удаленном сервере, копировать файлы через защищенное соединение, при этом поддерживается как стандартный scp механизм, так и поддержка sftp, которая реализована без задействования внешних библиотек, таких как libcrypto (из OpenSSL) или libgcrypt. libssh реализует серверные и клиентские функции, поддерживает протоколы SSH1 и SSH2, режимы шифрования AES-128, AES-192, AES-256, Blowfish, 3DES в CBC, возможность работы с серверами публичных ключей RSA и DSS, поддерживает сжатие данных, работу совместно с ssh-agent и организацию работы нескольких сеансов в рамках одного соединения.

Исходные тексты библиотеки насчитывают более 17 тыс. строк кода и распространяются под лицензией LGPL. Отсутствие зависимостей от внешних приложений и библиотек, позволяет использовать libssh для встраиваемых устройств. Из программ, использующих libssh можно отметить утилиту для двухсторонней синхронизации файлов csync.

 
----* autossh - Automatically restart SSH sessions and tunnels [+]
[обсудить]
 Программа для автоматического восстановления SSH сессий и туннелей после обрыва соединения.
 
----* shimmer - alternative to port knocking program [+]
[обсудить]
 Реализован интересный способ повышения безопасности системных сетевых сервисов, таких как SSH или telnet. Суть метода в том, что система начинает принимать соединения для заданного сервиса не по одному порту, а по группе сетевых портов, причём номер рабочего порта меняется каждую минуту и определяется в соответствии с определённым колючем, известным только уполномоченным на использование сервиса лицам. Остальные порты выступают в в роли "honeypot" пустышек, постоянно выдающих ошибку аутентификации.
 
----* pam_abl - PAM module that provides auto blacklisting [+]
[обсудить]
 PAM модуль для автодобавления хоста в черный список после серии неудачных запросов аутентификации. Может использоваться для защиты от атак направленных на подбор пароля.
 
----* hostapd - daemon for access point and authentication servers [+]
[обсудить]
 Демон обеспечивающий поддержку механизмов аутентификации IEEE 802.11 AP, IEEE 802.1X/WPA/WPA2/EAP/RADIUS для создания беспроводных точек доступа.
 
----* S/key, OPIE - One-time Passwords [+]
[обсудить]
 Системы аутентификации по одноразовым паролям, т.е. генерируется набор паролей, каждый из которых можно использовать только один раз. Обычно используют для входа из недоверительной среды, в которой пароль могут подсмотреть. До версии FreeBSD 5 в комплект входила система S/key (основанная на MD4), а начиная с версии 5.0 - OPIE (MD5).
  • OTPW - реализация программы login, PAM модуль и библиотека для адаптации любой программы для работы с S/key или OPIE;
  • Про работу с OPIE можно прочитать здесь и здесь.
  •  
    ----* pam_usb - PAM module that enables authentication using a USB in Linux (Версия: 0.5.0 от 2011-04-22) [+]
    [обсудить]
     PAM модуль для аутентификации по DSA ключу, хранимому на съемном USB Flash (возможно использование CDROM). Например, можно обеспечить вход в сеть выдав каждому пользователю по Flash с ключом. Пользователь садится за машину, вставляет Flash и работает без ввода пароля.
     
    ----* HPN-SSH - High Performance SSH/SCP [+]
    [обсудить]
     Патчи к OpenSSH, устраняющие ряд узких мест в механизме буферизации, как в серверной, так и в клиентской части, что позволяет значительно (примерно в 10 раз) увеличить скорость пересылки большого объема данных (как при использовании не пропатченного ssh/scp клиента с пропатченным ssh сервером, так и при связке пропатченный клиент - не пропатченный сервер).
    Для организации сверхскоростной передачи данных доступен дополнительный патч, позволяющий передавать данные без шифрования, при этом этап аутентификации шифруется.
     
    ----* pgsql_auth - Authentication helper for SQUID [+]
    [есть мнение]
     Модуль аутентификации пользователей для SQUID. База пользователей SQUID лежит в PostgreSQL. Кроме имени и пароля проверяется поле "state" и если не равно 0, то аутентификация не проходит.
     
    ----* pam_chroot - Linux-PAM module that allows a user to be chrooted (Версия: 0.9.2 от 2007-10-02) [+]
    [обсудить]
     PAM модуль, позволяющий организовать запуск программ для определенного пользователя или группы в chroot окружении. Может использоваться совместно с типами auth, account и session. Поддерживает опции конфигурирования (могут быть заданы в отдельном файле конфигурации): regex маски, задание директории для помещения в chroot для каждого пользователя/группы в отдельности.
     
    ----* Corkscrew - tool for tunneling SSH through HTTP proxies [+]
    [обсудить]
     Утилита для проброса SSH соединения через HTTP прокси, например, squid или mod_proxy.
     
    ----* PuTTY - A Free Telnet/SSH Client (Версия: 0.63 от 2013-09-05) [+]
    [есть мнение]
     Один из лучших Telnet, SSH и Rlogin клиентов для Win32, первоначально разработанный для удаленной работы на Unix серверах с Windows машин. позже, был портирован под Unix.
     
    ----* scponly - limited shell for secure file transfers [+]
    [обсудить]
     scponly позволяет организовать защищенное копирование файлов без возможности запуска программ и необходимости использования SSH/OpenSSH. Кроме того scponly поддерживает chroot в директорию пользователя и может принимать соединения от sftp клиентов.
     
    ----* Chroot в OpenSSH [+]
    [обсудить]
     Подборка патчей для помещения избранных пользователей в chroot окружение с входом через SSH:
  • Патч для помещения пользователей в chroot, при обнаружении маски "/./" в имени домашнего каталога в /etc/passwd (старая версия);
  • Патч для FreeBSD, помещает в chroot или jail по логину или группе;
  • Патч для помещения избранных пользователей в chroot (openssh-3.5p1). Добавляет директивы ChrootDir, ChrootAll, ChrootUsers, NoChrootUsers;
  • Патч sftp-server для запрещения выхода за рамки домашнего каталога.
  • SSHjail - патч к OpenSSH, для помещения избранных пользователей в различные chroot окружения. Настройки хранятся в /etc/sshjail.conf.
  • chroot+sftp hack - делает chroot при соединении по SFTP, если в пути к домашней директории пользователя указано /./;
  •  
    ----* GSASL - implementation of the Simple Authentication and Security Layer framework (Версия: 0.2.1 от 2004-11-20) [+]
    [обсудить]
     GNU реализация SASL метода шифрования/аутентификации, широко используемая совместно с SMTP, POP3 и IMAP.
  • Cyrus-sasl - наиболее популярная SASL реализация.
  •  
    ----* Dropbear SSH Server (Версия: 2013.56 от 2013-03-29) [+]
    [обсудить]
     Нацеленный на использования во встраиваемых системах SSH сервер (очень небольшие требования к объему памяти и небольшой размер кода), поддерживающий протокол SSH 2. К сожалению, с точки зрения безопасности Dropbear SSH не лучше OpenSSH, так как часть кода заимствована.
     
    ----* GnuTLS - GNU Transport Layer Security Library (Версия: 1.0.22 от 2004-11-08) [+]
    [обсудить]
     Библиотека реализует поддержку протоколов шифрования передаваемых данных TLS 1.0-1.2 и SSL 3.0, хешей SHA-256/384/512, блочного шифра Camellia (RFC 4132), аутентификации через SRP, X.509 сертификаты или OpenPGP ключи. Поддерживаются расширения: TLS/PSK (Pre-Shared-Keys), TLS/IA (Inner Applicatio), проксирование X.509 сертификатов.

    Базовая библиотека распространяется в рамках лицензии GPLv2.1 или более новой, а экстра-модули (поддержка TLS/IA, LZO сжатия, обработчик FIPS-режима в Libgcrypt, библиотека для обеспечения совместимости с OpenSSL, тестовый комплект и набор утилит командной строки) - под лицензией GPLv3.

     
    ----* SHFS - SHell FileSystem Linux kernel module (Версия: 0.35 от 2004-06-05) [+]
    [обсудить]
     Модуль для Linux kernel 2.4.x позволяющий монтировать директории с удаленной машины используя SSH или RSH соединение.
     
    ----* sec_rpc - Проброс NFS через SSH туннель [+]
    [обсудить]
     sec_rpc доступен для Linux, HPUX, FreeBSD и Solaris. Позволяет организовать SNFS (Secure NFS, v2 и v3) путем проброса через SSH2 туннель.
     
    ----* mod_auth_pgsql - allows user authentication and log in PostgreSQL (Версия: 0.9.12 от 2002-01-13) [+]
    [обсудить]
     Модуль для авторизации пользователей в Apache через PostgrSql базу. Параметры соединения с базой, таблица и поля с логином и паролем определяются в файле конфигурации, имеется возможнось записи информации о входах пользователей в специальную таблицу.
     
    ----* mod_auth_radius - RADIUS authentication module for Apache [+]
    [обсудить]
     Модуль для авторизации пользователей в Apache через удаленный Radius сервер.
     
    ----* pam_watch is a PAM module that controls all input and output of the user session and allows external connection to it using fifos. [+]
    [обсудить]
     pam модуль для слежения за работой пользователя в консоли.
     
    ----* getpg - provide for authentication against "virtual" user accounts stored in a PostgreSQL database [+]
    [обсудить]
     Система для создания виртуальных хостов путем организации авторизации пользователей через базу хранимую в PostgreSQL. В настоящее время написаны блоки авторизации через PostgreSQL для UW-IMAP, qmail, существуют PAM и NSS модули.
     
    ----* Tac_bsd - login system used to authenticate users from a TACACS server [+]
    [обсудить]
     Замена программы login для авторизации через TACACS сервер.
     
    ----* authpgsql (nss_postgresql и pam_postgresql) - authorization modules for the NSS and PAM systems. (доп. ссылка 1) [+]
    [обсудить]
     PAM модули для авторизации в PostgreSQL.
  • См. также модуль pam-pgsql.
  •  
    ----* MySQL for qmail (Версия: 5.1.51 от 2010-10-07) [+]
    ----* MySQL+proftpd [+]
    ----* MySQL+WU-FTPD - Authentication & Logging functions (доп. ссылка 1) [+]
    ----* MySQL+WU-IMAP (доп. ссылка 1) [+]
    ----* Ascend Radius + MySQL (Версия: 0.9.5.116 от 2008-10-08) [+]
    ----* PostgreSQL + qmail (Версия: 9.1.0 от 2011-09-13) [+]
    ----* getpg - functions to allow UW-IMAP to authenticate users against a PostgreSQL database [+]
    [обсудить]
     Модули для авторизации во внешней базе пользователей.
     
    ----* Experimental Authentication and Authorization Token Management Extensions in the FreeBSD Kernel [+]
    [обсудить]
     
    ----* MIT Kerberos V5. (Версия: 1.12.1 от 2014-03-12) [+]
    [обсудить]
     Классическая Kerberos реализация от MIT, имеет ограничения по использованию в некоторых странах за пределами США. Более популярной, совместимой с MIT и функциональной реализацией Kerberos 5 является Heimdal (в комплект входит набор клиентских и серверных программ, таких как rsh, telnet, popper, login и т.д.).

    Суть Kerberos - в наличии централизованного сервера аутентификации (AS) (и, опционально, кеширующих, подчиненных, серверов), и определенного числа хостов и пользователей, привязанных к AS и объединенных в группы. Пользователь проходит аутентификацию (вводит пароль) только при первом входе, затем ему выдается "билет" (TGT - ticket-granting ticket), по которому он может получать доступ на всех машинах входящих в группу. Причем "билет" прозрачно мигрирует от машины к машине вслед за пользователем. Для передачи содержимого сеансов может использоваться шифрование, для каждого сеанса генерируется единоразовый сессионный ключ.
    Другие реализации и приложения:

  • GNU Shishi - не совсем завершенная Kerberos 5 реализация от проекта GNU, в комплект входят клиенты и серверы для IMAP, SSH, rsh/rlogin, PAM модуль.
  • KTH Kerberos - реализация Kerberos 4 основанная на eBones, в планах поддержка Kerberos v5.
  • pam_krb5 - PAM модуль для Kerberos v5.
  • mod_auth_kerb - модуль для аутентификации в Kerberos для Apache;
  •  
    !!!-* OpenSSH - свободная версия SSH (Поддерживается разработчиками OpenBSD, совместима с протоколами SSH 1.3, 1.5, 2) (Версия: 3.8.1p1 от 2004-04-20) [+]
    ----* psst - free implementations of the SSH protocol (обзор существующих ssh1/2 серверов/клиентов) [+]
    ----* lsh - GPL реализация протокола SSH2 (Версия: 1.4.1 от 2002-06-27) [+]
    ----* SSH - Secure Shell. (Версия: 3.1.0 от 2001-12-15) [+]
    [обсудить]
     Очень надежная замена программам rlogin, rsh, rcp и rdist. Создает шифрованное соединение между хостами. Если вы еще не используйте SSH, то поторопитесь.
     
    ----* postfix+pam - Patch to add PAM lookup table to Postfix. [+]
    [обсудить]
     Патч реализующий поддержку проверки наличия пользователя, на начальном этапе почтовой сессии, через PAM для postfix.
     



    Близкие по значению ключи
    gatekeeper  group  nas  dial-in  tacacs  dial-out  share  aaa  nss  root  nmap  spoofing  ddos  exploit  bruteforce 
    Близкие по совпадению ключи
    samba  linux  ldap  aaa  domain  squid  freebsd  pdc  fedora  win  sendmail  mail  user  pop3  password 
    Похожие разделы ключей
  • Управление пользователями, авторизация
  • Безопасность
  • Криптование

  • Раздел новостей
     [26.09.2017] Релиз системы управления доступом к сети PacketFence 7.3
     [11.08.2017] Уязвимость в Git, Subversion и Mercurial, допускающая подстановку команд через URL ssh://
     [07.07.2017] WikiLeaks раскрыл сведения об SSH-имплантах ЦРУ
     [04.05.2017] Проект Kryptonite развивает систему хранения закрытых ключей SSH на смартфоне
     [07.04.2017] Выпуск Mosh 1.3, альтернативы SSH
     [23.02.2017] Новый выпуск SSH-клиента PuTTY 0.68
     [20.12.2016] Релиз OpenSSH 7.4
     [05.10.2016] Доступен pam_docker, PAM-модуль для аутентификации внутри Docker
    Следующая страница >>

    Советы и заметки
     Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator
     Автоматическое создание домашних директорий для пользователей в Samba
     Аутентификация при помощи Bluetooth телефона или USB Flash в Debian/Ubuntu Linux
     Настройка аутентификации по отпечаткам пальцев в Ubuntu Linux
     Какие ограничения лучше включить для SSHD ?
     Как включить доступ на Cisco через ssh
     Как настроить доступ по SSH на базе секретных ключей без ввода пароля.
     Как в linux разрешить su только для членов группы wheel
    Следующая страница >>

    Тематический каталог
     Аутентификация на SSH сервере с использованием ключей
     Руководство по настройке аутентификации пользователей через LDAP.
     Беспарольная аутентификация по ключу через pam_usb
     Squid - Аутентификация по user
     Включение Fedora Core 7 в домен под управлением Windows 2003
     Настройка Samba 3 (PDC) с пользователями в LDAP каталоге
     PAM AUTH в sendmail 8.12
     Авторизация пользователей Linux из OpenLDAP и /etc/passwd одновременно
    Следующая страница >>

    Каталог программ
     pam_usb - PAM module that enables authentication using a USB in Linux
     pam_chroot - Linux-PAM module that allows a user to be chrooted
     pam_abl - PAM module that provides auto blacklisting
     getpg - provide for authentication against "virtual" user accounts stored in a PostgreSQL database
     authpgsql (nss_postgresql и pam_postgresql) - authorization modules for the NSS and PAM systems.
     pam_tacplus - PAM module support the authentication, authorization (account management) and accounting (session management)
     FreeRADIUS Server Project - high-performance and highly configurable GPL'd RADIUS server
     yard - Yet Another Radius Daemon - free RADIUS daemon for accounting and authorization
    Следующая страница >>

    Каталог ссылок
     Настройка PAM_LDAP и аутентификация в SAMBA через LDAP сервер
     PAM documentation
     Using OpenLDAP For Authentication
     Русская редакция FAQs: SSH, WuFTPD, ProFTPD и Solaris
     Samba/LDAP How-To using Samba v.3
     UNIX Computer Security Checklist and papers
     openbsdsupport.org - OpenBSD User documentation project
     Migs' RADIUS Labs
    Следующая страница >>

    Архив документации
     Начала PAM.
     Организация централизованной системы аутентификации при помощи Fedora Directory Server и MIT Kerberos
     Построение защищенных рутеров на базе Cisco ISO
     Сохраняем настройки Sendmail в дирректориях LDAP.
     Настройка Cisco CallManager в связке с OpenLDAP
     Централизованная схема управления сетью с использованиемOpenLDAP
     Собираем OpenSSH и OpenSSL
     Руководство по настройке и использованию SSH
    Следующая страница >>


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor