This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision Next revision Both sides next revision | ||
безопасное_подключение_с_чужого_компьютера [2023/01/30 08:58] val |
безопасное_подключение_с_чужого_компьютера [2023/01/30 09:06] val |
||
---|---|---|---|
Line 31: | Line 31: | ||
</code> | </code> | ||
- | Теперь, ближе к нашей задаче, во FreeBSD уже "из коробки" библиотека PAM для сервиса sshd поддерживает OPIE | + | Теперь, ближе к нашей задаче, во FreeBSD уже "из коробки" библиотека PAM (Pluggable Authentication Modules) для сервиса sshd поддерживает OPIE |
<code> | <code> | ||
root@bsdgate:~ # cat /etc/pam.d/sshd | root@bsdgate:~ # cat /etc/pam.d/sshd | ||
Line 78: | Line 78: | ||
</code> | </code> | ||
- | Магия в том, что "мастер" пароль хранится только в голове пользователя (ну или в программе OTPdroid на его телефоне), его НЕТ во FreeBSD! В системе есть такой файл: | + | Магия в том, что "мастер" пароль хранится только в голове пользователя (ну или в программе OTPdroid на его телефоне), его НЕТ во FreeBSD! |
+ | |||
+ | В системе есть такой файл: | ||
<code> | <code> | ||
Line 85: | Line 87: | ||
</code> | </code> | ||
- | и на этом этапе в нем хранится хэш 499-й итерации функции MD5 над ключом и "мастер" паролем. От пользователя в этот момент потребуется 498 пароль, над ним произведут операцию MD5 и сравнят со значением в /etc/opiekeys. Если значения совпадут, пользователя "пустят" в систему (на самом деле, успешно отработает подсистема auth библиотеки PAM) | + | и на этом этапе в нем хранится хэш 499-й итерации функции MD5 над ключом и "мастер" паролем. От пользователя в этот момент потребуется 498 пароль, над ним произведут операцию MD5 и сравнят со значением в /etc/opiekeys. Если значения совпадут, пользователя "пустят" в систему (на самом деле, успешно отработает подсистема auth библиотеки PAM :) и в /etc/opiekeys запишется хэш 498-го пароля: |
+ | <code> | ||
root@bsdgate:~ # cat /etc/opiekeys | root@bsdgate:~ # cat /etc/opiekeys | ||
user1 0498 bs6909 b4b034101201c6b1 Jan 30,2023 10:59:38 | user1 0498 bs6909 b4b034101201c6b1 Jan 30,2023 10:59:38 | ||
</code> | </code> | ||
- | и хорошо написано в системе документации к FreeBSD - Handbook | + | а для следующего подключения потребуется уже 497-й пароль. Красиво, правда? |
+ | |||
+ | Все это хорошо написано в системе документации к FreeBSD - Handbook | ||
https://docs.freebsd.org/doc/8.4-RELEASE/usr/share/doc/freebsd/ru_RU.KOI8-R/books/handbook/one-time-passwords.html | https://docs.freebsd.org/doc/8.4-RELEASE/usr/share/doc/freebsd/ru_RU.KOI8-R/books/handbook/one-time-passwords.html | ||
- | В заключение могу порекомендовать поменять порт ssh сервера на какой ни будь другой и усилить в систему сервисом fail2ban. | + | В заключение могу только порекомендовать поменять порт ssh сервера на какой ни будь другой и усилить в систему сервисом fail2ban. |
Спасибо, что дочитали до конца, буду рад, если попробуете и поделитесь мнением в комментариях! | Спасибо, что дочитали до конца, буду рад, если попробуете и поделитесь мнением в комментариях! |