Intereting Posts
CentOS 7 – пакеты не помечены для обновления причины для dd-образа почти пустого диска не будут малы после gzip Как добавить событие мыши в Gnome Shell? Как отображать «доступные для человека» размеры файлов в результатах поиска? Проверить успешность команды в bash Как установить tty, на котором появляется GDM? Можно ли установить пакеты в / bin? Преобразование разреженного файла в не разреженный Как обменивать целые html-блоки в нескольких файлах с помощью sed Могу ли я безопасно игнорировать: «предупреждение: подстановка команды: игнорируется нулевой байт на входе»? Ошибка при присвоении текущей директории переменной dhclient печатает странную ошибку Как создать псевдоним, который передает дополнительные аргументы? Состояние поддержки 5 ГГц для 802.11 WiFi-разработчиков в BSD (2014) Msgstr "Невозможно найти действительный baseurl для репо: base / 7 / x86_64" on "yum update all"

Как настроить двухфакторную аутентификацию с помощью OTP на FreeBSD?

У меня есть хостинг-сервер FreeBSD, который мне нравится, когда можно добраться из любого места. Обычно я использую SSH publickey для входа в систему, или если у меня нет моего личного ключа SSH, я могу использовать обычный пароль для SSH. Тем не менее, при входе с ненадежной машины всегда возникает риск того, что кейлоггер захватит мой пароль, когда я его напечатаю.

FreeBSD уже имеет поддержку OPIE, которая является одноразовой схемой паролей. Это отлично работает, но одноразовый пароль является единственной проверкой подлинности. Если я распечатаю список одноразовых паролей для использования позже, то, если я потеряю этот список, тогда это все кому-то нужно.

Я хотел бы настроить аутентификацию, чтобы мне был нужен одноразовый пароль плюс то, что я знаю (пароль, за исключением моего обычного пароля для входа). Я чувствую, что ответ имеет какое-то отношение к PAM (и /etc/pam.d/sshd ), но я не уверен в деталях.

Как настроить аутентификацию, где требуются два метода?

Поскольку вы хотите использовать пароль, который является чем-то отличным от обычного для вашей обычной учетной записи, попробуйте security/pam_pwdfile из дерева портов.
В принципе, он позволяет вам использовать альтернативный файл (format: username:crypted_password ) для аутентификации.
Чтобы использовать его, поместите следующую строку в /etc/pam.d/sshd прямо перед строкой для pam_opie :

 auth required /usr/local/lib/pam_pwdfile.so pwdfile /path/to/pwd/file 

Duo Security (наша компания) предлагает пакет с открытым исходным кодом, который поддерживает OTP, обратную связь по телефону, SMS и аутентификацию с помощью смартфона для SSH с паролями, pubkey или любым основным механизмом auth – с или без PAM:

http://blog.duosecurity.com/2011/04/announcing-duos-two-factor-authentication-for-unix/

Предполагая, что это использует pam, это должно быть так же просто, как положить два обязательных модуля в /etc/pam.d/. Один для Опи, а другой для вашего другого. (скажем, обычный пароль UNIX)

Рассмотрим использование pam-radius. Он должен компилироваться на BSD. Радиус поддержки всех двухфакторных систем аутентификации предприятия. Радиус – очень стандартный стандарт, поэтому вы получите большую гибкость.

НТН.