ITSumma 4 ноя 2019 в 20:11

В OpenSSH добавлена двухфакторная аутентификация

2 мин

6.9K

Блог компании ITSummaНастройка Linux*Системное администрирование*Сетевые технологии*Серверное администрирование*

+29

Комментарии 10

НЛО прилетело и опубликовало эту надпись здесь

mihmig 4 ноя 2019 в 21:50

Пользуясь случаем спрошу:
настраивал ли кто хранение ключа пользователя на токене (етокен/рутокен).
1. Возможно-ли записать ключ на токен и использовать его в Putty? Гугл приводит довольно старые мануалы по генерации ключа в расширении Firefox, которое уже не устанавливается.
Задача заключается в препятствии копирования ключа (хотя бы непрофессиональными пользователями)
2. Возможно ли настроить работу так, что при извлечении ключа сессия принудительно разрывалась?

temoffey 6 ноя 2019 в 16:39

1. Записывал заранее сгенерированный ключ на Рутокен ЭЦП 2.0 по мануалу с их wiki. Можно сгенерировать сразу на ключ. Удалось использовать с клиентом openSSH на macOS и Putty-CAC на Windows, но необходима установка драйверов рутокен.
2. Отключение по извлечению настроить не удалось.

rsashka 4 ноя 2019 в 22:13

Libfido2 генерирует сам ключ, так что ее использование необходимо.

Если ключ генерируется в библиотеке, а не в токене, это значит, что отсутствует основная «фишка», это неизвлекаемость ключа.
Кто мешает создать слабый ключ, своровать его резервную копию или перехватить его при записи, если компьютер инфицирован?

freeExec 5 ноя 2019 в 07:24

Он и не извлекается, но библиотека генерирует другой ключ на основе неизвлекаемого, с которым уже может работать ssh

farcaller 5 ноя 2019 в 01:00

Заголовок с ЛОРа коприровали?

Нет там никакой "двухфакторной" аутентификации. Просто можно использовать FIDO-девайсы как единственный фактор, т.е. железка становится вашим ссш-ключем.

Двухфакторная аутентификация, это например libpam-google-authenticator или duo. И они с openssh работают уже много лет.

DerRotBaron 5 ноя 2019 в 10:57

Не согласен. Тут используются 2 фактора — владение железкой и владение ключом как файлом на компьютере. По одиночке они равнозначно бесполезны для входа.
Подозреваю, что можно добавить и третий фактор в виде пароля на ключе

farcaller 5 ноя 2019 в 17:02

Из описания я понял что в файле просто хранится ID железки?

DerRotBaron 5 ноя 2019 в 21:15

Судя по этому описанию, в файле содержится нечто большее, чем просто id.
https://www.opennet.ru/opennews/art.shtml?num=51800

pulsatrix 5 ноя 2019 в 06:43

Также функция доступна пользователям коммерческого OpenBSD в билде от 01.11.2019.

Да, и шо такое — «коммерческий openbsd»? Дайте два.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий