এসএসএইচ: দুটি ফ্যাক্টর প্রমাণীকরণ


30

আমার কাছে সাম্বা এবং আরও কয়েকটি পরিষেবা সহ ওপেনএসএসএইচ চলমান একটি উবুন্টু সার্ভার 12.04 রয়েছে। বর্তমান সময়ে আমার কাছে সার্বজনীন কী প্রমাণীকরণ স্থাপন রয়েছে এবং আমি ভাবছি যে দুটি ফ্যাক্টর প্রমাণীকরণ সেট আপ করা সম্ভব কিনা? আমি গুগল প্রমাণীকরণকারীর দিকে তাকাচ্ছি যা বর্তমানে আমি আমার জিমেইল অ্যাকাউন্টের সাথে ব্যবহার করি।

আমি একটি প্যাম মডিউল পেয়েছি যা দেখে মনে হচ্ছে এটি উপযুক্ত হবে তবে মনে হচ্ছে আপনি কোনও পাসওয়ার্ড এবং কোড উত্পন্ন কোড ব্যবহার করতে বাধ্য হয়েছেন।

আমি ভাবছি যে আমার এসএসএইচ সার্ভারে প্রমাণীকরণের জন্য আমার সার্বজনীন কী সহ Google প্রমাণীকরণকারী অ্যাপ্লিকেশন (বা অনুরূপ কিছু) ব্যবহার করার কোনও উপায় আছে কিনা?


বেশিরভাগ মন্তব্যগুলি বাগ রিপোর্ট বলে মনে হচ্ছে যে ওপেনএসএসএইচ দিয়ে প্যাম এবং সর্বজনীন কী প্রমাণীকরণ ব্যবহার করা অসম্ভব। আমি আমার কী সহ একটি পাস বাক্যাংশ ব্যবহার করছি বলে আমি এটি অপ্রয়োজনীয় উল্লেখ করে এমন কিছু অংশও পেয়েছি। সমস্ত সমাধান সহ আপাতদৃষ্টিতে কেবলমাত্র Google প্রমাণীকরণকারী এবং একটি পাসওয়ার্ডকে পাবলিক কী নয় allowing আমি এটি পুরোপুরি অনুপস্থিত হতে পারি, তবে আমি কীভাবে উভয়কে প্রয়োগ করতে পারি তা দেখছি না।
কংক্রিট গাধা

এটির কেন -1 রয়েছে তা নিশ্চিত নয়, এটি একটি খুব আকর্ষণীয় প্রশ্ন এবং আমিও উত্তরটি জানতে চাই (আমি এটি ব্যবহারের সম্ভাবনা জানি না, তবে তবুও, জ্ঞান ব্যাংকগুলিতে স্ট্যাশ করা ভাল)
মার্ক হেন্ডারসন

@ পিয়ার আপনি কি সর্বজনীন কী প্রমাণীকরণ এবং একটি Google ওটিপি উভয়ই প্রয়োজনের চেষ্টা করছেন ?
এমজিগর্ভেন

@ এমগোর্ভেন হ্যাঁ, আমি পাবলিক কী এবং গুগল ওটিপি উভয়ই সেট আপ করার চেষ্টা করছিলাম। আমি কিছু লোককে শুনেছি এটি মূল বিষয়টিকে দুটি কারণ হিসাবে পাসফ্রেজ হিসাবে রাখার পক্ষে যথেষ্ট তবে আমি ম্যালওয়্যারটি স্মৃতি থেকে আন-এনক্রিপ্ট করা কীটি চুরি করার বিষয়ে উদ্বিগ্ন। প্রমাণীকরণের জন্য আমার পরিবর্তে দুটি সম্পূর্ণ পৃথক ডিভাইস ব্যবহার করা উচিত, আমি কিছুটা অসময়ে আবদ্ধ।
কংক্রিট গাধা

এই আনুষ্ঠানিকভাবে 6.2 বাস্তবায়িত পরিণত দেয়ার উদ্দেশ্যে করা হচ্ছে bugzilla.mindrot.org/show_bug.cgi?id=983#c59
Tobias Kienzler

উত্তর:


8

রেড হ্যাট একাধিক প্রমাণীকরণ প্রক্রিয়া প্রয়োজন জন্য আরএইচইএল (এবং সে কারণেই সেন্টোস) .3.৩ এ ওপেনএসএসএইচে একটি প্যাচ যুক্ত করেছে, যাতে আপনি এটির মতো কিছু করতে পারেন:

RequiredAuthentications2 publickey,keyboard-interactive

আরও বিস্তারিত জানার জন্য প্রকাশের নোটগুলি দেখুন ।

দুর্ভাগ্যক্রমে এই বৈশিষ্ট্যটি ওপেনএসএইচএইচ আপ স্ট্রিম বা উবুন্টু 12.04 তে বলে মনে হচ্ছে না, সুতরাং আপনি যদি প্যাচটি সন্ধান করতে এবং ওপেনএসএইচ পুনরায় সংকলন না চান তবে আমি আশঙ্কা করছি যে আপনার ভাগ্য থেকে দূরে।


আমাকে বলতে হবে যে আপনি আমাকে উত্তর খুঁজে বের করার জন্য যে প্রচেষ্টা করেছিলেন তাতে আমি তার প্রশংসা করি, আমি অবশ্যই গুগলের ফলাফলের কয়েকটি পৃষ্ঠায় যাওয়ার চেষ্টা করেছি তবে সমস্তটিই আপনাকে বোঝায় যে আমাকে কেবল একটি পাসওয়ার্ড এবং একটি ওটিপি ব্যবহার করতে হয়েছিল। বৈশিষ্ট্যটি নিয়ে চারপাশে খেলতে আমি সম্ভবত একটি সেন্টোস ভিএম তৈরি করব।
কংক্রিট গাধা

@Pierre না যে অনেক প্রচেষ্টা, আমি আগে ;-) এই বৈশিষ্ট্য সম্বন্ধে জানত
mgorven

আমি সম্পর্কিত বাগ এবং আরও কিছু নোট পেয়েছি । বাগটি সংযুক্তি হিসাবে প্যাচটিকে অন্তর্ভুক্ত করে।
রবি বাসাক

এবং এখানে একটি উজানের ওপেনশ বাগ রয়েছে । দেখে মনে হচ্ছে যে শিগগিরই ওপেনশায় অনাদায়ী কার্যকারিতা প্রবাহিত হবে।
রবি বাসাক

ওপেনশ 6.২ উবুন্টুর বিকাশ প্রকাশে অবতীর্ণ হয়েছে, সুতরাং যে কোনও বিপর্যয়ের জন্য এই সমর্থনটি প্রত্যাশিত ১৩.১০ রিলিজে থাকবে। এটি AuthenticationMethodsএকাধিক প্রয়োজনীয় পদ্ধতি নির্দিষ্ট করার জন্য আপস্ট্রিম ব্যবহার করে, যাতে আপনার পিএএম গুগল প্রমাণীকরণকারীর কাজ শেষ করার সাথে সাথে এসএসএস কী এবং পিএএম উভয়ই প্রয়োজন।
রবি বাসাক

8

আপনি দ্বৈত সুরক্ষা খুঁজছেন


1
এই. হ্যাঁ। আমি এই জিনিস ভালোবাসি!
LVLAaron

অবশ্যই - ইউনিক্স / লিনাক্স (উত্তরের লিঙ্ক), ওপেনভিপিএন ( ডুয়েসিকিউরিটি / ডকস / ওপেনভপিএন_এএস ), বা যে কোনও ওএটিএইচ টোটিপি ভিত্তিক দ্বি-ফ্যাক্টর পরিষেবা, বা লাস্টপাস পাসওয়ার্ড পরিচালনার জন্য দু'টি সেটআপ করা সহজ । গুগল প্রমাণীকরণকারীর সাথে সামঞ্জস্যপূর্ণ যে কোনও পরিষেবা (যা টিটিপি ব্যবহার করে) ডুয়ের মোবাইল অ্যাপ্লিকেশন, বা একটি হার্ডওয়্যার টোকেন সমর্থনকারী টোটিপি ব্যবহার করতে পারে।
রিচভেল

5

আপনি গুগল প্রমাণীকরণকারী পিএএম মডিউল এবং সর্বজনীন কী উভয়ই ব্যবহার করতে পারেন তবে প্রদত্ত প্রমাণীকরণের জন্য কেবলমাত্র একবারে ব্যবহৃত হবে। এটি হ'ল কোনও ব্যবহারকারী যদি অনুমোদিত পাবলিক কী দিয়ে লগ ইন করে তবে কোনও টোকেন লাগবে না।

অথবা, অন্যথায় এটি বলতে: টোকেনগুলি কেবলমাত্র পাসওয়ার্ডের অনুমোদনের জন্য প্রয়োজন, এসএসএইচ কী নয়।

গুগল প্রমাণীকরণকারী মডিউলটি এই সীমাবদ্ধতাটি উপায় দ্বারা আসে না, তবে এসএসএইচ থেকে আসে, যা কেবল প্যামের জন্য দুটি ফ্যাক্টর প্রমাণীকরণ (মাধ্যমে ChallengeResponseAuthentication) প্রয়োগ করে, কিন্তু যখন কোনও বৈধ পাবলিক কী সরবরাহ করা হয় তখন পিএএম কল করে না।


এটি সঠিক ছিল, তবে এখন পরিবর্তিত হয়েছে। openssh 6.2 একটি AuthenticationMethodsকনফিগারেশন প্যারামিটার যুক্ত করেছে যা এটি ফ্লিপ করতে পারে। এখন আপনি উভয় প্রয়োজন হতে পারে।
রবি বাসাক

3

এই প্রশ্নটি ২০১২ সাল থেকে। এসএসএইচ পরিবর্তিত হয়েছে এবং এসএসএইচ 2 প্রোটোকলটি কার্যকর করা হয়েছে।

এসএসএইচ (> = 6.2) এর আরও সাম্প্রতিক সংস্করণগুলিতে, মানুষ sshd_config উল্লেখ করেছে:

AuthenticationMethods
       Specifies the authentication methods that must be successfully completed for a user to be
       granted access.  This option must be followed by one or more comma-separated lists of
       authentication method names.  Successful authentication requires completion of every method
       in at least one of these lists.

       For example, an argument of ``publickey,password publickey,keyboard-interactive'' would
       require the user to complete public key authentication, followed by either password or key-
       board interactive authentication.  Only methods that are next in one or more lists are
       offered at each stage, so for this example, it would not be possible to attempt password or
       keyboard-interactive authentication before public key.

       This option is only available for SSH protocol 2 and will yield a fatal error if enabled if
       protocol 1 is also enabled.  Note that each authentication method listed should also be
       explicitly enabled in the configuration.  The default is not to require multiple authentica-
       tion; successful completion of a single authentication method is sufficient.

এই পৃষ্ঠাটি http://lwn.net/Articles/544640/ এছাড়াও একই সময়ে একটি পাবলিককি এবং একটি পিএএম প্রমাণীকরণ ব্যবহার করার সম্ভাবনা উল্লেখ করেছে।


2

আমি জানি এই প্রশ্নটি একটু বাসি, তবে ভবিষ্যতের লোকেদের (নিজেরাই অন্তর্ভুক্ত) স্বার্থে যারা সমাধানের সন্ধান করছেন, সেখানে স্ক্রিপ্ট চালানোর জন্য sshd_config ফাইলটিতে ফোর্সকম্যান্ড বিকল্পটি ব্যবহার করার কথা রয়েছে যা পরে প্রমাণীকরণটি সম্পাদন করে। এখানে একটি উদাহরণ স্ক্রিপ্ট রয়েছে যা আপনি আপনার প্রয়োজনে কিছুটা সংশোধন করতে পারেন, যদিও সেই উদাহরণে তিনি এটিকে sshd_config এর ফোর্সকম্যান্ডের মাধ্যমে সিস্টেম-প্রশস্ত করার পরিবর্তে অনুমোদিত_কিগুলি ফাইল থেকে কল করেন।


1

একটি YubiKey পান এবং এই গাইডটি অনুসরণ করুন http://berrange.com/posts/2011/12/18/m Multi-factor-ssh-authentication- using-yubikey-and-ssh-public-keys-together/

আফাইক, এসএসএইচ অ্যাক্সেসের জন্য এটি আপনার সার্ভারে ইউবিকি প্রয়োগের সেরা উপায়। উপরের গাইডটি আপনাকে সরকারী-কী + ইউবিকি ব্যবহার করতে সক্ষম করে যখন আপনি সরকারী গাইডের সাথে যান তবে ( http://code.google.com/p/yubico-pam/wiki/YubikeyAndSSHViaPAM ) এর চাবি.

শুভেচ্ছা, ভিআইপি


0

আপনি যদি নিজের ব্যক্তিগত কীতে একটি পাসফ্রেজ সেট করেন তবে আপনার কাছে ইতিমধ্যে দ্বি-গুণক প্রমাণীকরণ রয়েছে। লগ ইন করার জন্য মানুষের প্রয়োজন হবে:

  1. আপনার কাছে কিছু - আপনার ব্যক্তিগত কী
  2. আপনি যা কিছু জানেন - আপনার ব্যক্তিগত কীতে পাসফ্রেজ

3
দুই পাসওয়ার্ড না না দুইবার-প্রয়োজনীয় প্রমাণীকরণ ভুলবেন না। মূলটি নিজেই একটি বৈধ "আপনার কাছে থাকা কিছু" নয় কারণ এটি কোনও জিনিস নয়, কেবল একটি টুকরো তথ্য। প্রমাণীকরণের ফ্যাক্টর হিসাবে কোনও ব্যবহার হওয়ার জন্য জিনিসটি অবশ্যই অন-অনুলিপিযোগ্য বা কমপক্ষে তুচ্ছ-অনুলিপিযোগ্য অনুলিপিযোগ্য হতে হবে।
ম্যাথহ্যাটার

2
আমি পুরোপুরি একমত নই। যদি কী এবং শংসাপত্রগুলি "আপনার কাছে কিছু" না থাকে তবে সেগুলি কী? তারা অবশ্যই "আপনি জানেন এমন কিছু" নন (আপনি কি নিজের এসএসএইচ কীটি শিখার অভ্যাসে আছেন?), এবং একেবারে "আপনি কিছু" না not এগুলি কেবলমাত্র তিনটি পছন্দ, সুতরাং নির্মূল করার প্রক্রিয়া দ্বারা তারা অবশ্যই "আপনার কাছে থাকা কিছু"।
বার্ট বি

1
আমি রাজী; আমার জন্য, সমস্যাটি সর্বাধিকের মধ্যে রয়েছে (আপনার কাছে যা কিছু আছে | জেনেছেন | আছেন)। দ্বি-গুণক প্রমাণীকরণের ধারণাটি বিভিন্ন বৈশিষ্ট্যযুক্ত দুটি শ্রেণির সদস্যদের প্রয়োজন; আপনি যা কিছু জানেন সেগুলি বহন করা সহজ, তবে এটি আপনি যেমন জানেন তখনই এটি অন্য কেউ পরিচিত হতে পারে; সুতরাং আমরা একটি দ্বিতীয়, বিভিন্ন ফ্যাক্টর যুক্ত। "আপনার কাছে থাকা কিছু" যদি তা অস্বীকারযোগ্য (বা অনুলিপি করা শক্ত) হয় তবেই আলাদা। অন্যথায়, নিশ্চিত, এটি আপনি জানেন এমন কিছু নয় তবে এটি আপনি জানেন এমন কিছু থেকে গুণগতভাবে পৃথক নয় , কারণ অন্য কেউ আপনার মতো একই সময়ে এটি পেতে পারে।
ম্যাথহ্যাটার

2
আমি অবশ্যই একমত যে পাসওয়ার্ড-সুরক্ষিত কী-পেয়ারটি সোজা নাম ব্যবহারকারীর + পাসওয়ার্ডের সুরক্ষার ক্ষেত্রে একটি বড় উন্নতি। দুঃখের সাথে আমি একমত হই না যে এই জাতীয় জুটি দ্বি-গুণক হিসাবে গণ্য হয়েছে, এবং সম্ভবত আমাদের এ বিষয়ে একমত হতে সম্মত হতে হবে।
ম্যাথহ্যাটার

3
আপনার যদি পাসফ্রেজ-এনক্রিপ্ট করা ব্যক্তিগত কী থাকে তবে আপনি কেবলমাত্র সার্ভারের কাছে একটি জিনিস প্রমাণ করেছেন: যে আপনার ক্লায়েন্ট ব্যক্তিগত কীটি জানেন। এটি সার্ভারের কাছে প্রমাণিত হয় না যে আপনি নিজের পাসফ্রেজ জানেন know সার্ভারটি আপনার পাসফ্রেজের অস্তিত্ব সম্পর্কেও জানে না। সুতরাং এটি কেবলমাত্র "আপনি জানেন এমন কিছু" (যেহেতু আপনার ক্লায়েন্ট এটি জানেন) এবং কেবল একটি কারণ। যদি কোনও আক্রমণকারী কেবল একটি জিনিস ধরে রাখে (আপনার ব্যক্তিগত কী) তবে আপনি আপস করছেন। এটি একটি ফ্যাক্টর। আপনার পাসফ্রেজ এবং প্রাইভেট কী গণনা দুটি কারণ হিসাবে যুক্তি দেওয়া কেবল পরিশীলনের একটি অনুশীলন। তারে কী ঘটে তা হল গণনা করা।
রবি বাসাক
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.