ssh doppia auth con google authenticator

Discussione:

Cristiano Deana

2014-07-15 08:24:17 UTC

Ciao,

io ho scoperto l'altro giorno questo giochetto per avere la doppia
autenticazione su ssh che potrebbe interessare a molti:

# cd /usr/ports/security/pam_google_authenticator
# make install clean
# cd /usr/ports/graphics/libqrencode # se vuoi avere il qrcode. e tu lo vuoi
# make install

aggiugere a /etc/pam.d/sshd :
auth sufficient /usr/local/lib/pam_google_authenticator.so

# installare sul proprio smartphone google authenticator
# lanciare google-authenticator con l'utente che vuole usare la doppia
autenticazione
# seguire le istruzioni

# have fun

--
Cris, member of G.U.F.I
Italian FreeBSD User Group
http://www.gufi.org/

Gianmarco Giovannelli

2014-07-15 10:44:36 UTC

Permalink

Post by Cristiano Deana
Ciao,
io ho scoperto l'altro giorno questo giochetto per avere la doppia
# cd /usr/ports/security/pam_google_authenticator
# make install clean
# cd /usr/ports/graphics/libqrencode # se vuoi avere il qrcode. e tu lo vuoi
# make install
auth sufficient /usr/local/lib/pam_google_authenticator.so
# installare sul proprio smartphone google authenticator
# lanciare google-authenticator con l'utente che vuole usare la doppia
autenticazione
# seguire le istruzioni
# have fun

Io lo uso da molto tempo per SSH ed e figo pero consiglio in /etc/pam.d/sshd :

# Google auth
auth required /usr/local/lib/pam_google_authenticator.so echo_verification_code nullok

Suggerisco anche di usare lintervallo temporale piu ampio (4m > " WINDOW_SIZE 17) e di fregarvene del ratelimit ogni 30s che dopo un po puo diventrae annoying.

Ulteriori tips:

- Quando avete finito salvate da qualche parte al sicuro limmagine generata, in modo che se perdete il telefono semplicemente riscannerizzate la stessa immagine e non dovete rifare la stessa procedura per tutti i servers (vedi dopo).

- Copiate il file .google_authenticator in tutte le vostre home dei servers che volete proteggere in modo che usate la stessa entry (SSH) nel programma dello smartphone.

- Configurate NTPD per sincronizzare bene la data altrimenti siete spacciati :-)

P.s.
Colgo infine loccasione per ringraziare ad Alex Dupre che un paio di annetti fa mi fece capire la differenza tra questo prodotto e questo:
http://motp.sourceforge.net/ :-)

Gianmarco Giovannelli

2014-07-15 11:00:22 UTC

Permalink

Post by Gianmarco Giovannelli
- Quando avete finito salvate da qualche parte al sicuro limmagine generata, in modo che se perdete il telefono semplicemente riscannerizzate la stessa immagine e non dovete rifare la stessa procedura per tutti i servers (vedi dopo).
- Copiate il file .google_authenticator in tutte le vostre home dei servers che volete proteggere in modo che usate la stessa entry (SSH) nel programma dello smartphone.
- Configurate NTPD per sincronizzare bene la data altrimenti siete spacciati :-)
P.s.
http://motp.sourceforge.net/ :-)

e riguardo al port che avevo preparato a suo tempo di motp mi disse:

Questa porcheria (non il port che erano 3 righe in croce, ma la libreria) non la committo neppure se mi metti una pistola in testa" :-)

Sempre il buon vecchio Alex :-)

Paolo Tealdi

2014-07-22 11:41:33 UTC

Permalink

Il 15/07/2014 10:24, Cristiano Deana ha scritto:

Mah,

Sicuramente più sicuro rispetto ad una sola autenticazione, in teoria bellissimo se devi collegarti 1 volta all'anno ad un server ...
Nel mio utilizzo quotidiano, con decine di login su più server al giorno diventerei matto dopo 2 giorni.

--
Ing. Paolo Tealdi Area IT - Politecnico Torino
Telefono/Phone : +39-011-0906714 , FAX : +39-011-0906799
Indirizzo/Address : C.so Duca degli Abruzzi, 24 - 10129 Torino - ITALY
Skype : tealdi.paolo
Please consider your environmental responsibility before printing this e-mail