xtavras 19.09.2010 13:24
Есть вопрос! — Реализации одноразовых паролей под Линукс.
Интересуюсь наличием OTP (One-Time-Password) реализаций под Линуксом, а конкретно работающие с Апачем. Существует популярная OPIE система, которая отлично работает с ssh и pure-ftpd, а вот с Апачем через pam работать у меня никак не хочет. Наткнулся еще на специальный модуль mod_authn_otp, но он по ощущениям в какой-то бета фазе и доверия сильно не внушает. Может что упустил и есть другие решения?P.S. Для чего это вообще нужно: необходимо что клиенты могли удаленно скачивать или заливать файлы и документы, по фтп это работает с opie, но проблема что для этого нужен фтп-клиент, а не все могут его поставить например на работе, так как нет прав, webdav и https в этом случае был бы более практичный вариант.
Заранее спасибо за советы.
Похожие
Поделиться
cyrus 19.09.2010 13:37 #
+ 0 -
md5sum от ника пользователя+unixвремя :D
Erb
А что конкретно Вам надо?
Вам для каких целей?
Вход в систему? Удалённое подключение?
В своё время я работал в коллективе, где очень любили стоять за спиной и смотреть как набирется пароль для входа в систему.
Я написал скрипт, который к концу пароля добавлял котрольное число в расчёте которрого была дата.
т.е. это ыбло примерно так
1. берём текущий день
2. прибавляем отнимаем, чего душе угодно
3. дописываем это в конец нашего стандартного пароля
4. passwd user
такое-же получилось реализовать и в вин ХР.
недостаток: если знать где лежит скрипт - то можно подсмотреть пароль.
но поскольку /home была на зашифрованном разделе, то получить доступ к скрипту было труднова-то;)
P.S.
Однажды застал коллег за безуспешными попытками ввода подсмотренного пароля;)
Вам для каких целей?
Вход в систему? Удалённое подключение?
В своё время я работал в коллективе, где очень любили стоять за спиной и смотреть как набирется пароль для входа в систему.
Я написал скрипт, который к концу пароля добавлял котрольное число в расчёте которрого была дата.
т.е. это ыбло примерно так
1. берём текущий день
2. прибавляем отнимаем, чего душе угодно
3. дописываем это в конец нашего стандартного пароля
4. passwd user
такое-же получилось реализовать и в вин ХР.
недостаток: если знать где лежит скрипт - то можно подсмотреть пароль.
но поскольку /home была на зашифрованном разделе, то получить доступ к скрипту было труднова-то;)
P.S.
Однажды застал коллег за безуспешными попытками ввода подсмотренного пароля;)
xtavras
Дописал в пост для чего. Я правильно понял что скрипт сам пароль меняет через passwd на что то вроде secretpassword+(дата-какое то число)?
Если есть доверие к юзеру (т.е. это вы/ваше доверенное лицо), то можно сделать проверку при логине с пом. самописного скрипта - есть ли пароль (или его хеш) в текстовом файлике. Если нет - выход, если есть - удалить из списка паролей и продолжить работу.
Если нет - то только через всякие pam, пароль/хеш хранить в нечитаемом юзером файле.
Если нет - то только через всякие pam, пароль/хеш хранить в нечитаемом юзером файле.
Доверия нет, поэтому и нужен одноразовый пароль, opie работает с pam, но апач не принимает его, день сидел, грыз различные настройки, а вот pureftp например кушает на ура.
andreas
Я знаю, что тут кидать ссылками не принято. Я этим не занимался, но нагуглил вот это, может тебе поможет: http://freeauth.org/wiki/index.php?title=Using_OTP_auth_in_Apache
Нагуглил я это вообще случайно, искал другое: pam с апачем я тоже так и не завёл, но c LDAP он работает на ура. Может OPIE можно с LDAP подружить? А из него уже в apache завести. С разгону я ничего не нашёл, но ты наверно OPIE уже знаешь, может тебе идея поможет.
В принципе это идея, но у LDAP есть свой pam, поэтому не уверен в этой затее, но попытка не пытка:)
Спасибо, натыкался на это, только что-то там мне не правилось, но посмотрю еще повнимательнее.
Не до конца понятна проблема и решение использовать именно OTP.
OTP предполагает либо использование карты паролей, где число паролей ограничено, либо аппаратный/программный генератор этих OTP. Какой из вариантов вы хотите использовать? Реально ли для вас передавать каждому клиенту такую карту или заставлять устанавливать приложение-генератор на мобильный?
С гораздо меньшими трудозатратами будет заводить каждому свою директорию и пользователя со статическим паролем, и периодически эти аккаунты чистить(при небольшом количестве клиентов можно практически не чистить). Имхо, вам правильно предлагают скрипт либо часто меняющий пароль, либо быстро заводящий пользователей, я бы остановился именно на этом варианте.
Если вы планируете пускать своих пользователей под одним и тем же аккаунтом, то OPIE вам не подойдёт, т.к. клиенты не будут знать, какие пароли с карты уже использованы, а какие - нет.
OTP предполагает либо использование карты паролей, где число паролей ограничено, либо аппаратный/программный генератор этих OTP. Какой из вариантов вы хотите использовать? Реально ли для вас передавать каждому клиенту такую карту или заставлять устанавливать приложение-генератор на мобильный?
С гораздо меньшими трудозатратами будет заводить каждому свою директорию и пользователя со статическим паролем, и периодически эти аккаунты чистить(при небольшом количестве клиентов можно практически не чистить). Имхо, вам правильно предлагают скрипт либо часто меняющий пароль, либо быстро заводящий пользователей, я бы остановился именно на этом варианте.
Если вы планируете пускать своих пользователей под одним и тем же аккаунтом, то OPIE вам не подойдёт, т.к. клиенты не будут знать, какие пароли с карты уже использованы, а какие - нет.
Вывод паролей не так сильно имеет значение, приложение на мобильник или даже хардварный token вполне осуществим, дело за тем чтобы это вообще работало. Скрипты и чистка аккаунтов это вешь неплохая для приватных целей с небольшим числом клиентов, мне же главное безопасность и удобство, для это OTP и был придуман.
OPIE идет для отдельного юзера, и номер который ему нужно использовать стоит в /etc/opiekeys. в ssh так вообще он сам говорит какой номер из списка надо ввести, как в онлайн банкинге, в фтп такого нет, но отгрепить номер из /etc/opiekeys можно самому с помощью скрипта, вообще я наверное напишу статью про OPIE попозже, вот бы еще с Апачем разобраться.
OPIE идет для отдельного юзера, и номер который ему нужно использовать стоит в /etc/opiekeys. в ssh так вообще он сам говорит какой номер из списка надо ввести, как в онлайн банкинге, в фтп такого нет, но отгрепить номер из /etc/opiekeys можно самому с помощью скрипта, вообще я наверное напишу статью про OPIE попозже, вот бы еще с Апачем разобраться.
Вы не хотите заставлять клиента ставить ftp-клиент, но при этом хотите заставить его искать какие-то цифры на бумажке или нажимать кнопку на токене и помнить пин-код. Вроде бы windows поддерживает ftp по-умолчанию, и не требует установки. В любом случае, когда что-то нужно для работы, недостаток прав - не помеха.
Я согласен, что, вводя OTP, вы немного увеличиваете безопасность но удобство и себе и клиентам однозначно уменьшаете. Так что задача больше на интерес, а не на клиентов ;)
В любом случае, дело ваше, даже интересно, что получится. Возможно вам поможет вот эта ссылка
Ещё посмотрите на эту систему - у них есть community edition, может что-то получится с этой системой.
Я согласен, что, вводя OTP, вы немного увеличиваете безопасность но удобство и себе и клиентам однозначно уменьшаете. Так что задача больше на интерес, а не на клиентов ;)
В любом случае, дело ваше, даже интересно, что получится. Возможно вам поможет вот эта ссылка
Ещё посмотрите на эту систему - у них есть community edition, может что-то получится с этой системой.
Скажем так, это не моя идея, а задание, но я его поддерживаю, не вижу ничего сложного для клиента искать номер по бумажке, в онлайн банке народ работает и не жалуется. А вот поставить клиент в офисе где строгая политика безопасности, и даже флешку подлючить нельзя совсем сложнее. Но это все оффтопик, спасибо за ссылки, видно что вы в теме.
