Comments 10
UFO landed and left these words here
Пользуясь случаем спрошу:
настраивал ли кто хранение ключа пользователя на токене (етокен/рутокен).
1. Возможно-ли записать ключ на токен и использовать его в Putty? Гугл приводит довольно старые мануалы по генерации ключа в расширении Firefox, которое уже не устанавливается.
Задача заключается в препятствии копирования ключа (хотя бы непрофессиональными пользователями)
2. Возможно ли настроить работу так, что при извлечении ключа сессия принудительно разрывалась?
1. Записывал заранее сгенерированный ключ на Рутокен ЭЦП 2.0 по мануалу с их wiki. Можно сгенерировать сразу на ключ. Удалось использовать с клиентом openSSH на macOS и Putty-CAC на Windows, но необходима установка драйверов рутокен.
2. Отключение по извлечению настроить не удалось.
Libfido2 генерирует сам ключ, так что ее использование необходимо.
Если ключ генерируется в библиотеке, а не в токене, это значит, что отсутствует основная «фишка», это неизвлекаемость ключа.
Кто мешает создать слабый ключ, своровать его резервную копию или перехватить его при записи, если компьютер инфицирован?

Он и не извлекается, но библиотека генерирует другой ключ на основе неизвлекаемого, с которым уже может работать ssh

Заголовок с ЛОРа коприровали?


Нет там никакой "двухфакторной" аутентификации. Просто можно использовать FIDO-девайсы как единственный фактор, т.е. железка становится вашим ссш-ключем.


Двухфакторная аутентификация, это например libpam-google-authenticator или duo. И они с openssh работают уже много лет.

Не согласен. Тут используются 2 фактора — владение железкой и владение ключом как файлом на компьютере. По одиночке они равнозначно бесполезны для входа.
Подозреваю, что можно добавить и третий фактор в виде пароля на ключе

Также функция доступна пользователям коммерческого OpenBSD в билде от 01.11.2019.

Да, и шо такое — «коммерческий openbsd»? Дайте два.
Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

12 September 2008

Location

Россия

Website

itsumma.ru

Employees

101–200 employees

Registered

24 November 2009