mealsforall 15.08.2012 05:53

How-to`sДвухфакторная аутентификация для SSH и прочих сервисов

Отличная статья на буржуйском языке про то, как включить двухфакторную аутентификацию при помощи PAM-модуля от Google. Если вы уже используете её на своём Gmail-аккаунте, почему бы не включить её и на своём Линукс-сервере?

Смартфоновое приложение используется для генерации шестизначных кодов.

Плюсики:

- Это PAM. То есть он может быть приспособлен не только для SSH, а для чего угодно. Исходный код открыт, можно с интересном почитать и поменять.

- Основано на текущем времени, а не на серверах Google. Нет необходимости доверять Google.

- Есть приложения под Андроид и айфон. При конфигурации ключа утилитка печатает QR-код, который очень просто сосканировать. Иными словами, нет необходимости вручную вводить ключ. Оба приложения open source, можно самостоятельно посмотреть в код.

Модуль есть и под FreeBSD.


Тэги: 2-factor authenticate Google pam
+ 5 -
Похожие Поделиться

andrew72ru 15.08.2012 19:54 #
Интересно, но бесполезно, как по мне. По ssh надо с ключами ходить – никакая двухфакторная аутентификация не нужна будет.
Но интересно, черт возьми!
kstep 15.08.2012 20:00 #
Ну так PAM же, не обязательно именно к ssh прикручивать.
andrew72ru 15.08.2012 21:14 #
Да я их, буржуев, понимаю с пятого на десятое :-) Технический текст, мануал – еще туда-сюда, а художественный (даже такой вот, околохудожественный) – с трудом. Но да, я понял, что можно прикрутить к чему-нибудь еще, кроме ssh. Что это даст в обычной жизни – фиг знает.
mealsforall 15.08.2012 22:55 #
Фишка двухфакторной аутентификации в том, что ключ и пароль можно незаметно украсть и без твоего ведома воспользоваться. В то время как телефон незаметно не сопрут, а без него логин не работает!
predator 27.11.2012 11:30 #
так можно украсть ключ и подсмотреть пароль к нему. а с одноразовыми ключами получается бесполезно
uscr 15.08.2012 22:55 #
А я прикрутил. Попробовал - работает. Через 5 дней не смог зайти. Попробовал повнимательнее - не работает. Открутил.

P.S.
Время было точное и в андроиде и на дебиане.
mealsforall 15.08.2012 23:03 #
Ну, тогда надо логи крутить. У меня эта штука уже полгода работает, полёт нормальный. Порадовало, что кто-то наконец-то статью красиво написал.
andreika 25.11.2012 18:55 #
я перевел
http://gnu.su/news.php?extend.1560
mealsforall 26.11.2012 19:19 #
"Вам будет необходимо ввести дополнительный код, полученный на ваш телефон, когда вы подключаетесь."

Код не присылается на телефон, а генерируется им.

Алсо, было бы неплохо улучшить читабельность текста. Например, "При подключении вы просто вводите дополнительный код, сгенерированный телефоном", а не то, что процитировано выше.