The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator
При применении двухфакторной аутентификации, кроме традиционного логина/пароля
или ключа требуется ввести код подтверждения, получаемый с устройства, заведомо
принадлежащего владельцу аккаунта. Наиболее простым способом является
использование открытого проекта  Google Authenticator, который предоставляет
мобильное приложение для генерации одноразовых паролей (TOTP) и PAM-модуль для
установки на стороне сервера.

На сервере устанавливаем PAM-модуль и утилиту настройки, которые во многих
дистрибутивах содержится в пакете google-authenticator:

   sudo yum install google-authenticator

Устанавливаем на мобильный телефон приложение Google Authenticator, которое
доступно для Android, iOS, Firefox OS и других платформ.

На сервере под учётной записью пользователя, для которого хотим включить
двухфакторную аутентификацию, запускаем команду:

    google-authenticator

которая отобразит картинку с QRcode, которую необходимо снять через камеру
телефона из мобильного приложения Google Authenticator, а также покажет коды
экстренного восстановления, которые позволят восстановить доступ в случае
потери смартфона.

Для включения  двухфакторной аутентификации в SSH на сервере активируем
PAM-модуль, добавив в /etc/pam.d/sshd строку:
 
   auth required pam_google_authenticator.so
 
В конфигурации OpenSSH /etc/ssh/sshd_config активируем опцию ChallengeResponseAuthentication:
  
   ChallengeResponseAuthentication yes

Не забываем перезапустить sshd:

   sudo service sshd restart

Теперь при попытке входа по SSH потребуется ввести не только пароль, но и
действующий несколько секунд одноразовый код, который следует получить из
мобильного приложения.

   Verification code: ********
   Password: ********



Кроме SSH, на рабочей станции можно добавить поддержку двухфакторной
аутентификации в экранный менеджер GDM, для этого добавим в файл
/etc/pam.d/gdm-password строку:
 
   auth required pam_google_authenticator.so

При следующем входе, кроме пароля GDM  запросит одноразовый код подтверждения.
 
Ключи: ssh, gdm, password, auth, totp, pam / Лицензия: CC-BY
Раздел:    Корень / Безопасность / SSH

Обсуждение [ RSS ]
 
  • 1.1, Аноним, 20:28, 02/10/2014 [ответить] [смотреть все]
  • +/
    Гуглозонд в ssh - это здорово придумано.
     
     
  • 2.3, unscrubber, 05:02, 03/10/2014 [^] [ответить] [смотреть все]
  • +/
    не хочешь, не ешь, есть и другие реализации OTP (и PAM модули) c сорцами - http://motp.sourceforge.net
     
     
  • 3.10, bMgue, 19:04, 10/11/2014 [^] [ответить] [смотреть все]
  • +/
    Или, например, OATH Toolkit:
    http://www.nongnu.org/oath-toolkit/index.html
     
  • 2.7, Crazy Alex, 16:58, 05/10/2014 [^] [ответить] [смотреть все]
  • +/
    Оно, если ты не заметил, открытое и имеет RFC. Неплохо бы думать иногда, а не только включать условный рефлекс на слово "гугл".
     
  • 1.2, Sadok, 20:38, 02/10/2014 [ответить] [смотреть все]
  • +/
    >которая отобразит картинку с QRcode

    поржал

     
     
  • 2.4, aurved, 09:55, 03/10/2014 [^] [ответить] [смотреть все]  
  • +/
    да, пожалуй, на серверах таки обычно нет Иксов

     
     
  • 3.5, spectator, 12:00, 05/10/2014 [^] [ответить] [смотреть все]  
  • +/
    Там псевдографика обычными квадратиками
     
     
  • 4.6, Sadok, 12:41, 05/10/2014 [^] [ответить] [смотреть все]  
  • +/
    > Там псевдографика обычными квадратиками

    ах! точно )) спасибо.

     
  • 1.8, Аноним, 23:46, 15/10/2014 [ответить] [смотреть все]  
  • +/
    Суть этих кодов На обоих устройствах имеется какой-то ключ переданный через qr... весь текст скрыт [показать]
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:




      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor