User Tools
2fa_на_предприятии
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
2fa_на_предприятии [2025/08/10 08:24] val |
2fa_на_предприятии [2025/08/18 06:32] (current) val [2FA на предприятии] |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| ====== 2FA на предприятии ====== | ====== 2FA на предприятии ====== | ||
| - | * [[https://winitpro.ru/index.php/2021/12/21/2fa-dlya-ssh-v-linux/|Включаем двухфакторную аутентификацию (2FA) для SSH входа в Linux]] | + | * [[https://ru.wikipedia.org/wiki/Одноразовый_пароль]] |
| + | * [[https://datatracker.ietf.org/doc/html/rfc6238]] | ||
| * [[https://2fa.zone/|Get 2FA Verification Code]] | * [[https://2fa.zone/|Get 2FA Verification Code]] | ||
| + | * [[https://2fa.fb.rip/]] | ||
| + | * [[https://2fa.live/]] | ||
| + | |||
| + | * [[https://winitpro.ru/index.php/2021/12/21/2fa-dlya-ssh-v-linux/|Включаем двухфакторную аутентификацию (2FA) для SSH входа в Linux]] | ||
| + | * [[https://networkjutsu.com/ssh-google-authenticator/|Securing SSH with Google Authenticator]] | ||
| + | |||
| + | * [[https://perfecto25.medium.com/openvpn-community-2fa-with-google-authenticator-4f2a7cb08128|OpenVPN Community + 2FA with Google Authenticator]] | ||
| + | * [[https://askubuntu.com/questions/1444599/does-ubuntu-openvpn-client-supports-static-challenge]] | ||
| + | |||
| + | * [[https://networkjutsu.com/freeradius-google-authenticator/|Adding Two-Factor Authentication to FreeRADIUS]] | ||
| + | |||
| + | ===== Реклама ===== | ||
| + | |||
| + | * Всем привет! Сегодня, в рамках "Дня открытых дверей Инженер линукс систем", раскроем завесу над очень важной темой - многофакторной аутентификацией. Обнаружим, что это совсем не сложное в настройке и использовании, но невероятно мощное решение для защиты предприятия от доступа посторонних. Тем не менее нам понадобятся не совсем очевидные знания о подсистемах SystemD и PAM. Как обычно, сделали материл максимально воспроизводимым в домашних условиях, "делай с нами, делай, как мы, делай лучше нас"! | ||
| + | |||
| + | ===== Техническое задание ===== | ||
| + | |||
| + | * Разобраться в вариантах 2FA и как работает TOTP | ||
| + | * Настроить 2FA для сервисов SSH, OpenVPN и GitLab | ||
| + | |||
| + | |||
| + | ===== Запись вебинара ===== | ||
| + | |||
| + | * Тэги: | ||
| + | |||
| + | ===== История вопроса ===== | ||
| + | |||
| + | * [[https://youtu.be/-fcJ8MkoLts|Использование одноразовых паролей OPIE]] | ||
| + | * [[https://habr.com/ru/articles/713582/|Безопасное подключение с чужого компьютера]] | ||
| + | |||
| + | ===== Шаг 1. Разворачиваем сеть предприятия ===== | ||
| + | |||
| + | * Шаг 1 и 2 из статьи [[https://habr.com/ru/articles/813799/|DPI из подручных материалов]] | ||
| + | |||
| + | <code> | ||
| + | debian:~# nft flush ruleset | ||
| + | </code> | ||
| + | |||
| + | ===== Шаг 2. Настраиваем SSH доступ с 2FA ===== | ||
| + | |||
| + | ===== Шаг 3. Настраиваем OpenVPN доступ с 2FA ===== | ||
| + | |||
| + | <code> | ||
| + | debian:~# cat /etc/pam.d/openvpn | ||
| + | </code><code> | ||
| + | auth required pam_google_authenticator.so authtok_prompt=pin | ||
| + | #auth required pam_google_authenticator.so authtok_prompt=pin user=root secret=/etc/openvpn/google-auth/${USER} | ||
| + | ... | ||
| + | </code><code> | ||
| + | # systemctl edit openvpn@openvpn1 | ||
| + | </code><code> | ||
| + | [Service] | ||
| + | ProtectHome=no | ||
| + | </code><code> | ||
| + | # cat /etc/openvpn/openvpn1.conf | ||
| + | </code><code> | ||
| + | ... | ||
| + | plugin /usr/lib/x86_64-linux-gnu/openvpn/plugins/openvpn-plugin-auth-pam.so "openvpn login USERNAME password PASSWORD pin OTP" | ||
| + | ... | ||
| + | </code> | ||
| + | ===== Шаг 4. Настраиваем 2FA доступ к GitLab ===== | ||
| + | |||
| + | * [[https://docs.gitlab.com/user/profile/account/two_factor_authentication/|GitLab Two-factor authentication]] | ||
| + | |||
| + | ===== Черновик ===== | ||
| + | <code> | ||
| + | # apt-get install libpam-google-authenticator | ||
| + | |||
| + | student@debian:~$ google-authenticator | ||
| + | |||
| + | Your new secret key is: Q7LD2KDIYCU6DEL37JFLLFIQUY | ||
| + | Enter code from app (-1 to skip): 626315 | ||
| + | Code confirmed | ||
| + | Your emergency scratch codes are: | ||
| + | 99306402 | ||
| + | 91750171 | ||
| + | 46620301 | ||
| + | 47719792 | ||
| + | 57203818 | ||
| + | |||
| + | # cp /etc/pam.d/other /etc/pam.d/openvpn | ||
| + | |||
| + | # pamtester openvpn student authenticate | ||
| + | Verification code: | ||
| + | Password: | ||
| + | pamtester: successfully authenticated | ||
| + | |||
| + | |||
| + | </code> | ||
2fa_на_предприятии.1754803448.txt.gz · Last modified: 2025/08/10 08:24 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
