2FA на предприятии

• https://ru.wikipedia.org/wiki/Одноразовый_пароль
• https://datatracker.ietf.org/doc/html/rfc6238

• Yandex Key – Google Play
• https://2fa.zone/
• https://2fa.fb.rip/
• https://2fa.live/

• Включаем двухфакторную аутентификацию (2FA) для SSH входа в Linux
• Securing SSH with Google Authenticator

• OpenVPN Community + 2FA with Google Authenticator
• https://askubuntu.com/questions/1444599/does-ubuntu-openvpn-client-supports-static-challenge

• Adding Two-Factor Authentication to FreeRADIUS

• Всем привет! Сегодня, в рамках “Дня открытых дверей Инженер линукс систем”, раскроем завесу над очень важной темой - многофакторной аутентификацией. Обнаружим, что это совсем не сложное в настройке и использовании, но невероятно мощное решение для защиты предприятия от доступа посторонних. Тем не менее нам понадобятся не совсем очевидные знания о подсистемах SystemD и PAM. Как обычно, сделали материл максимально воспроизводимым в домашних условиях, “делай с нами, делай, как мы, делай лучше нас”!

• Разобраться в вариантах 2FA и как работает TOTP
• Настроить 2FA для сервисов SSH, OpenVPN и GitLab

• https://youtu.be/VMIi5-XY7Gk
• https://rutube.ru/video/private/7fb7b99656ae3819fcabccc090412065/
• https://ok.ru/specialistru/topic/158109049773425
• https://vk.com/video-2190892_456239493

• Тэги: 2FA, OTP, TOTP, SSH, PAM, OpenVPN

• Использование одноразовых паролей OPIE (youtube)
• Безопасное подключение с чужого компьютера (habr)

• Шаг 1 из статьи Самый простой пример CI/CD используя образ Debian 13

$ timedatectl status    #!!!

$ sudo apt-get install libpam-google-authenticator

• Сделать окно терминала на 82×41 символ

student@debian:~$ man google-authenticator

student@debian:~$ google-authenticator

student@debian:~$ google-authenticator -t -f -d -w 3 -e 5 -r 3 -R 30

Your new secret key is: NNNNNNNNNNNNNNNNNNNNNNNN
Enter code from app (-1 to skip): NNNNNN
Code confirmed
Your emergency scratch codes are:
  ...
  NNNNNNNN

student@debian:~$ more .google_authenticator
...

debian:~# cat /etc/pam.d/sshd

...
# Enable MFA using Google Authenticator PAM
auth required pam_google_authenticator.so #nullok

debian:~# cat /etc/ssh/sshd_config

...
KbdInteractiveAuthentication yes
...

debian:~# systemctl reload sshd

• Шаг 2 из статьи DPI из подручных материалов

debian:~# nft flush ruleset

debian:~# ip r

• Создание самоподписанного сертификата
• Пакет OpenVPN
• Использование PAM аутентификации

• GitLab Two-factor authentication

• How to configure IMAP/SMTP for account with a 2-step verification