Рэальныя аднаразовыя паролі (OTP) на Linux, акрамя S/Key?

Вядома, гэта не добрая ідэя, каб увайсці ў выдаленую сістэму з ненадзейнага кампутара. Але часам гэта ясна неабходна. Выкрыццё незашыфраваныя SSH файл_ключа не варыянт, вядома. Ўвод пастаяннага пароля не з'яўляецца ні ні.

S/Key, здаецца, у «звычайнае» рашэнне, але яно патрабуе строга вынікаючы парадку пароляў па спісе. Гэта непажадана для агульных рахункаў, паколькі ўсе бакі павінны сінхранізаваць выкарыстанне спісу.

Любы спосаб зрабіць без якіх-небудзь аднаразовых пароляў патрабаванняў адносна парадку выкарыстання? Іншыя ідэі?

Перадумовы: Два адміны адной ўліковага запісу. Яшчэ адзін павінен быць дадзены «аварыйны канверт», які запячатаны і змяшчае інфармацыю для гэтага ўліковага запісу. Разрыўная ўшчыльненне дапускаецца толькі ў выпадку, калі іншыя адміністратары недаступныя.

3
Гэта дызайн пытанне. Вам патрэбен адзін рахунак з некалькімі аўтэнтыфікацыі «пунктаў». Гэтак жа, як вы маглі б дадаць некалькі SSH pubkeys на гэты конт і паставіць звышдоўгіх каранёвай пароль у сейфе. Што тычыцца выкарыстання другога фактару, акрамя ключоў SSH, вам патрэбна сістэма, якая можа справіцца з гэтым. Вы можаце выкарыстоўваць privacyIDEA ў якасці цэнтральнай сістэмы, для кіравання аўтэнтыфікацыяй прылад/элементаў ўсіх адмін, якія аднесены да гэтай каранёвай ўліковага запісу. Затым вы можаце наладзіць ўсю цягавітасць-сістэму для праверкі сапраўднасці гэтага цэнтральнага privacyidea.
дададзена аўтар cornelinux, крыніца

10 адказы

Мы выкарыстоўваем OTPW для гэтага. Простая рэалізацыя. Лёгка скапіяваць спіс пароляў. Сістэма запытвае паролі па нумары, так што ніякіх праблем не спрабуюць захаваць спісы ў сінхранізацыі.

9
дададзена
Гэта менавіта тое, што я шукаў. Ёсць нават пакеты для Ubuntu Hardy. Я б upvote, але не можа (пакуль).
дададзена аўтар Chris Ballard, крыніца
Нашы вытворчыя сістэмы Hardy, так што я магу з упэўненасцю сказаць, што ён добра працуе на гэтай платформе. І нават калі вы не можаце быць у стане upvote, вы можаце «прыняць» адказ ... :)
дададзена аўтар Rosie F, крыніца

S/Key ідэальна падыходзіць для гэтага сцэнара, але вам трэба зрабіць трохі больш працы.

Стварыць спецыяльныя рахункі для кожнага аварыйнага канверта. Гэтыя рахункі дадаюцца sudoers і можа прымаць корань. Гэта дае вам след аўдыту, што вы павінны мець (адзін рахунак на канверт, адзін канверт для кожнага карыстальніка) і гнуткасць, што вам трэба.

Пасля ўзнікнення надзвычайнай сітуацыі, адміністратар павінен вярнуць канверт на наступны пароль, які дае Вам аўдыт.

3
дададзена
Не зусім тое, што я хачу, але дзякуй за адзначыць які адсутнічае аўдыт, калі рахункі з'яўляюцца агульнымі.
дададзена аўтар Chris Ballard, крыніца
У прызначаючы два ўваходу той жа UID варыянту, што прапанаваны Джо Х., верагодна, лепшы курс дзеянняў тады.
дададзена аўтар duffbeer703, крыніца

звярніце ўвагу на мабільных OTP - гэта «танны» софт-маркер можна запусціць на Java-сумяшчальны мабільны тэлефон тэлефон. я выкарыстаў яго паспяхова толькі з вэб-прыкладанняў, але, як я бачу, што яны маюць модуль Пэм, а таксама.

у якасці альтэрнатывы ёсць WiKID , але я ніколі не выкарыстоўваў гэта.

3
дададзена

Праблема, здаецца, што вы спрабуеце выкарыстоўваць уліковыя запісы груп. Я бачу дзве магчымасці

  1. Асобныя ўваходы для кожнага карыстальніка, а затым іх су ў агульным рахунак.
  2. Калі аперацыйная сістэма падтрымлівае яго, прызначыць два ўваходу адзін і той жа нумар UID.

У другім выпадку, вы павінны праверыць, што S/Key думае карыстальнік (UID або UID нумар), і калі вы можаце прызначыць кожнаму увайсці ў асобны спіс.

(Я прызнаю, - я ніколі не спрабаваў # 2 у Linux, але мы прывыклі выкарыстоўваць яго доўга час таму, каб даць аператарам альтэрнатыўную абалонку, якая была на самай справе сістэма меню для іх запуску некаторыя фіксаваныя каманды, як корань. У гэтыя дні, вы б проста зрабіць гэта ж/судо)

3
дададзена

Я быў прыхільнікам Yubikey на некаторы час цяпер.

http://www.linuxjournal.com/article/10166

3
дададзена
YubiPAM прадастаўляе модуль форуму-PAM, як можна было б чакаць яго. Апаратная здаецца слізкай. Не ясна, калі неабходна захоўванне ключа AES на мэтавым кампутары на ўвазе рызыка для цэласнасці Yubikey (г.зн. без Увайсці Yubikey можа быць дасягнута пры наяўнасці ключа AES).
дададзена аўтар Chris Ballard, крыніца
Я таксама. Я увайсці ў сістэму BSD, Linux і Solaris скрынкі з Yubikey. Танныя і дзіўныя.
дададзена аўтар Saxman, крыніца

Гэта стары паток, але хто-то можа натрапіць на яго. Ёсць два цікавых патрабаванні:

  1. адзін кошт сумеснага выкарыстання некалькімі людзьмі

  2. аварыйны envolope, які я думаю, павінен працаваць толькі адзін раз.

LinOTP can cope with that. You can assign several different OTP tokens of different vendors to one user. (req. 1)

Акрамя таго, вы можаце стварыць маркер фіксаванага пароля. Змесціце гэта ў канверт. Зараз ідзе халаднаватую частка: вы можаце вызначыць, як часта маркер можа быць выкарыстаны для паспяховай аўтэнтыфікацыі. Такім чынам, вы можаце ўсталяваць гэта значэнне = 1 для гэтага аварыйнага канверта знака (REQ. 2)

2
дададзена

Такія рэчы, як Васка VACMAN забяспечваюць аўтэнтыфікацыю RADIUS, які можна выкарыстоўваць для ўваходу ў Linux з дапамогай рэгулярных PAM. Яны патрабуюць фізічнай фішкі, і дарагі, хоць, так што, верагодна, не падыходзяць да бягучай сітуацыі.

1
дададзена

Я меў звычай выкарыстоўваць OPIE. Ён запытвае паролі па колькасці, так што вы ведаеце, які з іх у спісе ён хоча.

Але цяпер я перайшоў на Yubikey.

1
дададзена

Іншы моцнай аўтэнтыфікацыі чаргаваць б RSA SecurID.

Плюсы: Шмат фактараў на выбар, ад «класічнага» зьвязка прылады для праграмных маркераў ў «OnDemand» (гэта значыць, OTP коды, якія адпраўляюцца праз SMS/электронную пошту), які з'яўляецца тое, што я б, верагодна, выкарыстоўваць для гэтага выпадку (у тым ліку iPhone!). (Гэта значыць, вы ўсё «варыянты», згаданыя ў артыкуле)

Плюсы: Прастата інтэграцыі практычна з любой сістэмай, што дазваляе моцна аўтарызацыю у большасці сістэм

Плюсы: Прастата ў выкарыстанні, з канчатковым карыстальнікам ваеннапалоннага.

Мінусы: Цана. Гэта не самае таннае рашэнне на рынку.

1
дададзена

Я не разумею, чаму стандарт S/Key не будзе адпавядаць вашым патрабаванням.

Кожны раз, калі хто-то ўваходзіць у сістэме, ён пасылае іх бачны «выклік», які ўключае ў сябе парадкавы нумар пароля ён хоча. Дастаткова інфармацыі даецца, каб высветліць, якая радок раздрукоўкі спісу аднаразовых пароляў-запытваецца ... без якога-небудзь ўзгаднення з любым іншым абмену ўліковага запісу карыстальніка. (Іншы спосаб глядзець на ўсё гэта неабходная каардынацыя забяспечваецца самім кампутарам, без неабходнасці для шматлікіх карыстальнікаў калі-небудзь размаўляць адзін з адным.) Сапраўды гэтак жа ёсць дастаткова інфармацыі (як індэкс і насеньне), каб надаць праграма для аднаўлення які просяць пароля (пры ўмове, вядома, вы ведаеце сакрэт).

Канверт можа ўтрымліваць альбо іншую друкаваную копію ўсяго спісу аднаразовых пароляў, або арыгінал (без Skey) пароль, які да гэтага часу працуе. (Вядома, для забеспячэння максімальнай бяспекі, калі канверт калі-небудзь адкрыты вы хочаце змяніць тое, што ў ім утрымліваецца [альбо паслядоўнасць або аднаразовых пароляў арыгінальны пароль].)

Так SKEY здаецца лёгка выканаць абодва патрабаванні. Скажы мне яшчэ раз, чаму вы шукаеце нешта іншае?

1
дададзена