소단: Linux 호스트의 authentication에 대한 2단계 인증

3729 단어 Bash
계속여느 때처럼 틀렸다면 지적해 주세요.
추기: 제목이 낚시라서 바꿨어요.
만약 이 문장의 모방이 실패한다면 전체 로그인은 모두 죽을 것이다.안녕히 가세요.
#그리고 이번에는 데비안 7.2.와
  • http://qiita.com/amedama/items/c0ae17a5bc33657e492d
  • http://spod.cx/blog/two-factor-ssh-auth-with-pam_oath-google-authenticator.shtml
  • 저번과 같다etc/users.oath가 권한을 정확하게 설정하고 구글 Authenticator나 OATH의 영패에 로그인하여 발행하는 것을 준비합니다.가능하다면 ssh를 하나 더 사용해서 효과가 있을 것 같습니다.
    그럼 저번에는/etc/pam이었습니다.d/sshd에 편집을 추가했습니다. 이번에는/usr/share/pam-configs/oath-test를 추가합니다.
    /usr/share/pam-configs/산하에 파일을 추가한 후,pam-auth-update 명령은/usr/share/pam-configs/산하의 설정을 모듈로 식별합니다.

    상술한 이미지에 자신의 모듈을 추가한 것이다.각 모듈을 열고 닫으면 PAM을 사용하는 모든 프로세스에 영향을 줄 수 있습니다.무서웠어
    활성화된 모듈은/etc/pam입니다.d/common-(4가지pam 설정 중 하나)의 일부분으로 컴파일합니다.순전히 백문에 속하는pam.conf/pam.d의 설정 파일입니다.(manpam.conf, manpam.d 우수)
    이번에는 우회 전략으로 OTP가 루트를 허용합니다etc/security/access-oath.나는 다음과 같은 내용을 설명하기 위해 conf를 만들었다
    + : root : LOCAL
    - : ALL : ALL
    
    '정말 안전한가'를 고려할 때 이 부근은 고려할 여지가 많다.
    /usr/share/pam-configs/oath-test를 만들었습니다. 아래와 같습니다.
    Name: OATH authentication
    Default: yes
    Priority: 16
    Auth-Type: Additional
    Auth:
            [success=end default=ignore]  pam_access.so accessfile=/etc/security/access-oath.conf 
            [success=end default=ignore]  pam_oath.so usersfile=/etc/users.oath
    
    에서 위의 설정을 사용하기 위해 루트 권한으로pam-auth-update를 실행합니다
    # pam-auth-update
    
    유효한지 확인하기 위해서,/etc/pam.d/common-auth,pam 보세요.d의 정확한 동작 여부를 눈여겨보다.아래의 야옹의 부분은 당연히 손으로 수정한 것이다.
    auth    [success=(にゃーん) default=ignore]      pam_unix.so nullok_secure
    ..
    auth    requisite                       pam_deny.so
    # prime the stack with a positive return value if there isn't one already;
    # this avoids us returning an error just because nothing sets a success code
    # since the modules above will each just jump around
    auth    required                        pam_permit.so
    # and here are more per-package modules (the "Additional" block)
    auth    [success=2 default=ignore]  pam_access.so accessfile=/etc/security/access-oath.conf
    auth    [success=1 default=ignore]  pam_oath.so usersfile=/etc/users.oath
    auth    optional                        pam_cap.so
    
    괜찮아요.

    수동 테스트


    이렇게 하면 이미 효과가 있을 것이다.그래서 수동 로그인 실험을 해보세요.
  • 외부에서 비밀 키를 가진 호스트는 OTP(비밀번호도 묻지 않음)
  • 외부에서 비밀 키가 없는 호스트에서 암호 및 OTP
  • 를 묻습니다.
  • 비밀번호와 OTP를 su(자체 사용자 이름)로 문의
  • 로컬 sudo login에서 사용자 이름으로 로그인하면 비밀번호와 OTP
  • 가 묻힙니다.
  • 루트 로그인 시 질문받지 않음
  • 마지막
  • GNOME에서 OTP 요청 재부팅 및 시도

  • 참고 자료

  • http://spod.cx/blog/two-factor-ssh-auth-with-pam_oath-google-authenticator.shtml
  • https://wiki.ubuntu.com/PAMConfigFrameworkSpec
  • https://mowa-net.jp/wiki/PAM
  • 좋은 웹페이지 즐겨찾기