LINUX.ORG.RU
ФорумTalks

[ЖЖ][ЧСВ]Аутентификация

 


0

0

Ура, поздравляйте меню! Моя сделать модуль для PAM.

Вкратце - будучи подключенным, эта штука может аутентифицировать пользователя по USB-устройству, то есть прописываем сопоставление девайс/юзер, после чего если девайс вставлен в компьютер, то у юзера пароль при входе не спрашивается, а если девайс не вставлен, то идет аутентификация обычным макаром, то есть через пароль :-)

★★★★★

атлична.

еще можно прикрутить к десктопным окружениям для блокировки/разблокировки. ну типа как KBlueLock по BT-девайсам делает

Somewho ★★
()
Ответ на: комментарий от Somewho

> еще можно прикрутить к десктопным окружениям для блокировки/разблокировки

К login, gdm, kdm, su и sudo уже прикручено через PAM :-)

no-dashi ★★★★★
() автор топика
Ответ на: комментарий от Lina

> PAM изучал?

Ага. Типа, даже осилил. Правда, с SSHD так и не совладал - но не больно то и хотелось, оно ведь для локальных сервисов предназначено.

> За сколько продаётся всё это?

Пока не решил :-) Но всяко не за миску риса - либо дороже (много дороже), либо дешевле (даром) :-)))

no-dashi ★★★★★
() автор топика
Ответ на: комментарий от sdio

> А что должно быть на USB-устройстве? Файл autorun.inf?

Ничего. Совсем. Это вообще может быть мобильник с CDC, или BT-dongle :-)

no-dashi ★★★★★
() автор топика
Ответ на: комментарий от sdio

> исходники будут?

После того, как разберусь с возможностью юзера рулить списокм устройств без рутовых привилегий :-)

no-dashi ★★★★★
() автор топика
Ответ на: комментарий от no-dashi

>Ничего. Совсем. Это вообще может быть мобильник с CDC, или BT-dongle :-)

лол :) воткнул мышку - вошел в систему. интересно )

stave ★★★★★
()
Ответ на: комментарий от sdio

> да ладно, я просто пошутил на счет autorun.inf

Да я не сантехник, шутку понял :-)

no-dashi ★★★★★
() автор топика
Ответ на: комментарий от stave

> воткнул мышку - вошел в систему

Неа :-( С мышкой все не так просто - нужен USB-шный iSerial от устройства. У моей мыши его нет, так что облом. Зато есть у UPS(!) :-)

no-dashi ★★★★★
() автор топика
Ответ на: комментарий от no-dashi

После того, как разберусь с возможностью юзера рулить списокм устройств без рутовых привилегий :-)

Это же не связанно с самим модулем РАМ, а только с его конфигом.

а какова схема?

usb -> udev -> pam -> ??? -> PROFIT

sdio ★★★★★
()

В жернале "Хакер" года 2 назад вроде как была статья с последовательностью шагов по запуску аутентификации USB-PAM.. не от туда?)

Deleted
()

Круто! Дай напосмотреть :)

boombick ★★★★★
()
Ответ на: комментарий от sdio

> А это что?

Каждый линуксоид должен зделать свою сборку ядра, свой патч к ядру, свой модуль для pam и изобрести еще много велосипедов

no-dashi ★★★★★
() автор топика

Чорт. Я долго думал, какое применение для своего айпода изобразить, когда я использую линюкс, а его во как можно ведь.

shimon ★★★★★
()
Ответ на: комментарий от no-dashi

> нужен USB-шный iSerial от устройства. У моей мыши его нет, так что облом. Зато есть у UPS(!) :-)

Суровые челябинские мужики входят в систему по UPS.

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

> Суровые челябинские мужики входят в систему по UPS.

IMHO, гораздо лучше быть суровым челябиснким мужиком, входящим в систему по UPS, чем быть знойным метросексуалом, в которого без ваз^WUPSа входит система :-)

no-dashi ★★★★★
() автор топика
Ответ на: комментарий от no-dashi

> IMHO, гораздо лучше быть суровым челябиснким мужиком, входящим в систему по UPS, чем быть знойным метросексуалом, в которого без ваз^WUPSа входит система :-)

Ну, если выбор только из этих двух вариантов... %)

tailgunner ★★★★★
()

/me хотел бы вход по смарт-карте, типо Gemplus какой-нибудь, pcsk x.509 аутентификацию. Есть такое? В венде есть, правда, через сёрд парти софтвэр вроде :)

Hokum ☆☆☆☆
()
Ответ на: комментарий от no-dashi

> суровым челябиснким мужиком, входящим в систему по UPS

Суровым челябинским линуксоидам все равно, что носить в кармане: UPS или пива бочонок...

shimon ★★★★★
()
Ответ на: комментарий от GAMer

> Низкая надёжность, ведь эти 2-3 фигуры будут показываться чаще всего =)

Пароль 12345 тоже у народа часто встречается.

1023 комбинации, не считая поворота ладони, полусогнутых, перекрещенных пальцев. А можно показывать комбинацию в несколько пассов руками.

PolarFox ★★★★★
()
Ответ на: комментарий от Hokum

> /me хотел бы вход по смарт-карте, типо Gemplus какой-нибудь, pcsk x.509 аутентификацию

pam_pkcs11

Я его даже настраивал и оно типа заработало... Но мне не понравилось, ибо карточка аладиновская, то бишь шлючный гнуснопроприетарный блоб.

no-dashi ★★★★★
() автор топика
Ответ на: комментарий от PolarFox

>несколько пассов руками
Ммм... Вспоминается Nox. Кучка пассов и ядрёный фаерболл =) Вот это уже рабочая идея!

GAMer ★★★★★
()

под FreeBSD 8.x надо патчить? :(

hizel ★★★★★
()
Ответ на: комментарий от PolarFox

> А можно показывать комбинацию в несколько пассов руками.

а еще лучше - авторизацию по морде лица.

isden ★★★★★
()
Ответ на: комментарий от isden

> а еще лучше - авторизацию по морде лица.

Проходили уже: хацкеры взломали такую защиту на висте с помощью фотографии, лол.

PolarFox ★★★★★
()
Ответ на: комментарий от isden

И причмнокнуть губами, легонько похлопав глазками (:

PolarFox ★★★★★
()
Ответ на: комментарий от no-dashi

>Пока не решил :-) Но всяко не за миску риса - либо дороже (много дороже), либо дешевле (даром) :-)))

А за бомж-пакет?

vada ★★★★★
()
Ответ на: комментарий от tailgunner

Суровые челябинские мужики входят в систему по UPS.

s/UPS/USB-клавиатуре/

Pavval ★★★★★
()

Давно читал про то, как сделать флэшку-ключ и проходить аутентификацию с помощью usb-pam. Это оно или нечто более крутое?

Demon37 ★★★★
()
Ответ на: комментарий от PolarFox

/me представил администратора, танцующего у сервера для аутентификации

Breton
()
Ответ на: комментарий от Demon37

Ну, главные фичи это детальный контроль, например можно аутентифицироваться как по system-wide базе (аналог /etc/passwd), так и по девайсам, перечисленным в аналоге ~/.ssh/authorized_keys, для каждого юзера ограничение это можно настроить индивидуально, то есть Вася может сам определять свои флэшки, а Пете это делает только рут, аналогично для каждого сервиса ограничение настраивается.

Например, sudo берет данные из системной базы, gdm из системной и юзерской, а gnome-screensaver только из домашнего каталога, а login пускает в систему ивана по флэшке или паролю, а машу только по флэшке.

Ну и понятно, никакого XML :-)

no-dashi ★★★★★
() автор топика

Мама дорогая ... я что то подобное в 2001 написал ... тока было по токену iButton и COM порту.

robot12 ★★★★★
()

могу подкинуть идейку для дальнейшего развития модуля - доп. аутентификация по ключику на этой флешке. ключик можно запрятать мимо таблицы разбиения/файловой системы, т.е. как файл его видно не будет.

isden ★★★★★
()

Дополнение для параноиков. При вставлении "не той" флешки включать механизм саморазрушения.

Для законченых параноиков. Помимо собственно ID опеределять место флешки на шине и делать из этого факта далеко идущие выводы. Шина USB орагнизована в виде дерева вершиной которого является корневой хаб (их вообще-то несколько), узлами - некорневые хабы, а листями - устройства.

Macil ★★★★★
()
Ответ на: комментарий от Macil

> При вставлении "не той" флешки включать механизм саморазрушения.

Ага, сидит типа жена за компом, фотографии сортирует. Ну и карточку от фотоаппарата подключила, чтобы фотографии слить. И тут значит подключаюсь я по ssh, и командую: sudo -i. И в этот момент, модуль видит не ту флэшку (карточку от фотоаппарата), и делает rm -rf /.

Ненене, не надо - мне семейная жизть дороже :-)

no-dashi ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.