LINUX.ORG.RU

В OpenSSH добавлена двухфакторная аутентификация

 


6

3

Новая возможность пока имеет статус «экспериментальная». Она позволяет использовать для аутентификации очень дешевые аппаратные ключи, подключаемые через USB, Bluetooth и NFC. Например YubiKey Security Key или Thetis FIDO U2F Security Key with Bluetooth стоят около 100 евро.

Руководство по включению данной аутентификации по ссылке.

>>> Подробности



Проверено: a1batross ()
Последнее исправление: cetjs2 (всего исправлений: 5)
Ответ на: комментарий от mx__

ну это другое. Банки используют сертификат x509 с парой ключей по госту, заверенные центром сертификации, потому что это заменяет подпись.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

А какая раньше двухфакторная аутентификация была в openssh?

Ее не было. Просто была пара ключей. Открытый на сервере и закрытый на клиенте. Это один фактор и есть.

AVL2 ★★★★★
()
Ответ на: комментарий от yvv

В том, что первый фактор, это закрытый ключ. А второй, это аппаратный ключ fido.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

А какая раньше двухфакторная аутентификация была в openssh?

Любая через PAM, в том числе все поддерживаемые физические ключи.

anonymous
()
Ответ на: комментарий от anonymous

Физические ключи типа rutoken и etoken, это не двухфакторная аутентификация. Там просто ключ лежит в токене. Это один фактор.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Где я вообще говорил про эти ключи? Для PAM есть вагон модулей, включая Yubikey.

anonymous
()

Можно понаделывать хоть десятифакторых аутентификаций с AES100500, они будут до жопы, пока у админа сервера на Штеуде с мелтдаунами и открытым наружу FTP, пароль прилеплен на стикере монитора.

Копроративные фото в фейсбуке - рулят :)

Что касается SSH, то здесь проще: тупо PermitRootLogin no, перенос sshd на другой порт, желательно 25, 143, 3389 etc, и разрешение доступа только с определенных IP. Ну, можно чуть повысить градус паранойи, и разрешить доступ только с одного IP, какого-нибудь «jumpbox» на дешевой VPS-ке или RPI, так чтоб коннектиться на закрытый сервер сквозь него.

Но как обычно эти трудности с SSH никому (из хацкеров) не нужны, ибо есть Wordpress’ы, Jooml’ы, exim’ы, спектро-мелтдауны, Cpanel’ы, VestaCыPы, которые исправно выполняют свою функцию - загрузчика шелла, а то и чьо покошернее - спамбота или криптомайнера. Им root ваще не нужен, как и шелл.

windows10 ★★★★★
()
Последнее исправление: windows10 (всего исправлений: 1)

TOTP завезли?

anonymous
()
Ответ на: комментарий от AVL2

Потому что сделать устройство, которое носишь в кармане и оно не ломается и выглядит не как груда элементов на куске макетной платы не так то просто?

это просто. Заводская плата, заводской корпус, заводская пайка, заводская мега – даже при мелкой серии это обойдется в 10 американских рублей

pihter ★★★★★
()
Ответ на: комментарий от Iron_Bug

потому что кто-то другой может сделать аналог твоего ключа на макетной плате. и в чём тогда смысл?

смысл в том, что у меги есть 8кб памяти, которые можно защитить от чтения. В них можно зашить не только хеширующий алгоритм, но и серийник и соль. Никак ты это не скопируешь

pihter ★★★★★
()
Ответ на: комментарий от AVL2

Сам в этой технологии плаваю, как они добиваются уникальности каждого стика и насколько легко его перехватить и подделать.

записываемая память, защищенная от чтения, в которой алгоритм шифрования + уникальные данные

насколько легко его перехватить и подделать

ну перехвати/подделай сим-карту или банковскокартный чип

pihter ★★★★★
()
Ответ на: комментарий от pihter

ну перехвати/подделай сим-карту или банковскокартный чип

Одно время симкарты клонировали. И весьма просто.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Одно время симкарты клонировали. И весьма просто.

ну тут уже я не специалист: я так понимаю, в стародавние времена на ней просто номер хранился по которому опсос отличал одного абонента от другого, в таком случае ее действительно легко скопировать. А теперь это ж полноценный компьютер с шифрованным хранилищем и аутентификацией – чет я не вижу копирований.

pihter ★★★★★
()
Ответ на: комментарий от AVL2

дада. а заводская плата, корпус и пайка в одном экземпляре так и стоят 600 руб? Это где такие цены?

[url=https://ru.aliexpress.com/item/32847860915.html?spm=a2g0v.search0302.3.68.b8652222LwC66p&ws_ab_test=searchweb0_0,searchweb201602_0,searchweb201603_0,ppcSwitch_0&algo_pvid=c0a26005-a813-458f-ac0b-acc0a1250632&algo_expid=c0a26005-a813-458f-ac0b-acc0a1250632-9]корпус 77 руб[/url]

[url=https://jlcpcb.com/]например тут[/url] делают 100х100 плату за 2$, нам нужна (исходя из размера указанного выше корпуса) 50х20мм, то есть 10 штук влазит, то есть 20 центов = 12 руб.

Мега + кварц + usb разъем пусть еще 100 руб. Итого осталось найти человека, который за 400 руб штука согласится на плату припаять мегу, кварц и юсб разъем и вставить в корпус. Мегу предватительно приложить на 10 сек к программатору надо.

Я понимаю, что в подсчете много не учтено, но порядок я указал верно, даже при мелкосерийном производстве на коленке цена в десять баксов более чем.

pihter ★★★★★
()
Ответ на: комментарий от pihter
Ответ на: комментарий от AVL2

а вот еще придумал: купить готовый usb-isp программатор за 81 руб

https://ru.aliexpress.com/item/32808512179.html?spm=a2g0o.productlist.0.0.fdf4f670oetQU8&algo_pvid=8fbd8bde-d85d-4503-ae4c-fb3483c37625&algo_expid=8fbd8bde-d85d-4503-ae4c-fb3483c37625-8&btsid=77f2c3f1-d880-435e-92f0-0515b9b88d41&ws_ab_test=searchweb0_0,searchweb201602_9,searchweb201603_52

там уже готовая мега8+кварц+обвес+усбшник. Перепрошить через жопу в нужный нам юсб-мегатокен, отпаять жопу, вставить в корпус за 77 руб. Наклеить лейбл ООО «Рога и копыта» и продавать за 100 долларов всем желающим получить высокие технологии.

pihter ★★★★★
()
Ответ на: комментарий от AVL2

И? Никаких преимуществ это не даёт, даже если так, что на самом деле странно. Сначала безопасный транспорт, потом credentials — так везде работает. Если здесь решили выделиться, то это скорее повод избегать нестандартного решения.

anonymous
()
Ответ на: комментарий от Iron_Bug

да, но оно, по сути, ничего не стоит. потому что кто-то другой может сделать аналог твоего ключа на макетной плате. и в чём тогда смысл?

сделай. посмотри, во сколько обойдётся.

ivlad ★★★★★
()
Ответ на: комментарий от ncrmnt

Микроконтроллер с зашитыми от ридбэка прошивки фьюзами, который шифрует таймстемп и номер сессии AES’ом при нажатии на кнопку и выплёвывает результат в комп прикидываясь клавиатурой.

нет, U2F не так работает.

ivlad ★★★★★
()
Ответ на: комментарий от AVL2

Физические ключи типа rutoken и etoken, это не двухфакторная аутентификация. Там просто ключ лежит в токене. Это один фактор.

а пин, чтобы токен разлочить - второй.

ivlad ★★★★★
()
Ответ на: комментарий от pihter

там уже готовая мега8+кварц+обвес+усбшник. Перепрошить через жопу в нужный нам юсб-мегатокен, отпаять жопу, вставить в корпус за 77 руб. Наклеить лейбл ООО «Рога и копыта» и продавать за 100 долларов всем желающим получить высокие технологии.

а что ты туда прошивать собираешься?

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

а что ты туда прошивать собираешься?

любой алгоритм который с данными влезет в 8кб памяти. Все что пожелаешь.

pihter ★★★★★
()
Ответ на: комментарий от pihter

[s]выдумал переговоры[/s]

Н — необучаемость %)

Nervous ★★★★★
()
Ответ на: комментарий от pihter

Да нет, там с самого начала ключевая пара была. Просто из за нескольких технологических упрощений количество переборов было сокращено с миллиардов до десятков тысяч. И сим-карту брутфорсили.

AVL2 ★★★★★
()
Ответ на: комментарий от ivlad

а пин, чтобы токен разлочить - второй.

не, тогда пароль на закрытом ключе тоже второй фактор. А это не так.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

пароль на закрытом ключе тоже второй фактор. А это не так.

насколько я понимаю, пароль на закрытом ключе никакого отношения к ssh-у не имеет: это просто зашифрованный DES-ом ключ, который по паролю расшифровывается и отдается уже в ssh. То есть применительно чисто к ssh-у аутентификация одна – только ключ, а для пользователя две – обладание ключом и знание пароля. От точки зрения зависит – заносите диалектику!

pihter ★★★★★
()
Ответ на: комментарий от pihter

ну, avr-ки бывают разные. зависит ведь от задачи. если взлом ключа стоит дороже какой-то чипушки - считай, не вопрос.

это к тому, что такие ключи что-то защищают только пока это никому не нужно взломать.

надёжные пароли - только в голове. ну, конечно, если не считать криптоанализ с паяльником. но обычные цифровые ключи с паролем - неплохой вариант.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 2)
Ответ на: комментарий от pihter

Ну так и пин тоже не имеет.

А должен иметь. Двухфакторная потому так и называется, что должно быть два фактора. Украв один, нужен и второй. Если украсть ключ, то пин и пароль уже не потребуются. Понятно, что это усложняет кражу, но это не второй равноправный фактор.

AVL2 ★★★★★
()

Да задолбала ваша двухфакторная аутентификация.

te111011010
()
Ответ на: комментарий от ncrmnt

Под клоном вы имеете в виду дубликат или просто аппаратную реализацию без копирования ключевой информации?

A-234 ★★★★★
()
Ответ на: комментарий от Iron_Bug

если взлом ключа стоит дороже какой-то чипушки - считай, не вопрос.

как ты предлагаешь его взламывать? читать свою память он не даст бай дизайн. Забрутфорсить не получится: в 8кб можно длинный ключ всадить. Прочитать память разобрав микросхему тунельномикроскопосканером?

это к тому, что такие ключи что-то защищают только пока это никому не нужно взломать.

ну банковские карты наверное много кому хотелось бы взломать, а чет не взламывают

pihter ★★★★★
()
Ответ на: комментарий от AVL2

Двухфакторная потому так и называется, что должно быть два фактора

думается мне, спор, как обычно, не вокруг сути, а вокруг формулировки )

pihter ★★★★★
()
Ответ на: комментарий от pihter

ЗЫ дьявол забери тех кто [s]выдумал переговоры[/s] поломал разметку Ахаха.

anonymous
()
Ответ на: комментарий от pihter

всё, что как-либо втыкается в комп и передаёт данные, можно отсканировать. и если кому-то сильно надо, он это сделает. если есть доступ к компу - это не вопрос. и зачем тогда «двухфакторная» аутентификация? от чего она спасёт? простой ключ с паролем куда надёжнее выходит.

ну банковские карты наверное много кому хотелось бы взломать, а чет не взламывают

бугога! добавить нечего. блажен, кто верует. копию карты сделать недорого. собственно, спасает эту систему только пароль - он в голове у юзера. ну и пароли/карты надо периодически менять, для безопасности.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 2)
Ответ на: комментарий от pihter

Да нет, суть как раз разная. Два фактора, это два независимых канала.

Например, если мысленно разделить ключ на две части, такая система не станет двухфакторной. Факторов реально должно быть два полностью раздельных.

Например, логин-пароль и смс на телефон. Недостаточно украсть логин и пароль. Нужно обязательно еще и смс украсть. или сертификат и одноразовый пароль. Недостаточно иметь сертификат, еще надо украсть и устройство с одноразовым паролем.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Банки используют сертификат x509 с парой ключей по госту

Это было очень смешно. Вот только во все мире никто не знает что такое «гост», а те кто знают так же знают, что совковые(российские) госты по определению небезопасные.

anonymous
()
Ответ на: комментарий от kostyarin_

Васья, ты о чем? Двухфакторная по TOTP не требует НИКАКИХ телефонов. Опять русская васья слышала звон, но не знает где он.

anonymous
()
Ответ на: комментарий от anonymous

Только ущербные селяне в качестве аргумента могут использовать выражение «весь мир знает» или «во всем мире никто не знает».

Скажи американцу, что что-то американское «во всем мире никто не знает», он пожмет плечами и скажет, а что тут удивительного? Дикари же, что они могут знать, кроме кольца в носу, бус и зеркальца? И что дальше? Ну, не знают. Фильм снимем для них, чтобы знали.

Другое дело постсовок. Этот обязательно все примеряет к миру во всем мире…

AVL2 ★★★★★
()
Ответ на: комментарий от A-234

Клон йубикея, со своим железом и своей прошивкой. Я это дело делал пару или тройку лет назад, валяются токены. Соответственно ключи надо свои зашивать и свой сервер yubi разворачивать, если используется их реализация. FIDO/U2F я в прошивку не добавлял, не дошли руки.

ncrmnt ★★★★★
()
Ответ на: комментарий от AVL2

Если украсть ключ, то пин и пароль уже не потребуются.

Поэтому придумали носители с неизвлекаемыми ключами.

boowai ★★★★
()
Ответ на: комментарий от boowai

Какая разница? Ну украли носитель с пин кодом. Это все вместе один фактор.

AVL2 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.