mealsforall 15.08.2012 05:53
How-to`s — Двухфакторная аутентификация для SSH и прочих сервисов
Отличная статья на буржуйском языке про то, как включить двухфакторную аутентификацию при помощи PAM-модуля от Google. Если вы уже используете её на своём Gmail-аккаунте, почему бы не включить её и на своём Линукс-сервере?Смартфоновое приложение используется для генерации шестизначных кодов.
Плюсики:
- Это PAM. То есть он может быть приспособлен не только для SSH, а для чего угодно. Исходный код открыт, можно с интересном почитать и поменять.
- Основано на текущем времени, а не на серверах Google. Нет необходимости доверять Google.
- Есть приложения под Андроид и айфон. При конфигурации ключа утилитка печатает QR-код, который очень просто сосканировать. Иными словами, нет необходимости вручную вводить ключ. Оба приложения open source, можно самостоятельно посмотреть в код.
Модуль есть и под FreeBSD.
Да я их, буржуев, понимаю с пятого на десятое :-) Технический текст, мануал – еще туда-сюда, а художественный (даже такой вот, околохудожественный) – с трудом. Но да, я понял, что можно прикрутить к чему-нибудь еще, кроме ssh. Что это даст в обычной жизни – фиг знает.
Фишка двухфакторной аутентификации в том, что ключ и пароль можно незаметно украсть и без твоего ведома воспользоваться. В то время как телефон незаметно не сопрут, а без него логин не работает!
так можно украсть ключ и подсмотреть пароль к нему. а с одноразовыми ключами получается бесполезно
А я прикрутил. Попробовал - работает. Через 5 дней не смог зайти. Попробовал повнимательнее - не работает. Открутил.
P.S.
Время было точное и в андроиде и на дебиане.
P.S.
Время было точное и в андроиде и на дебиане.
Ну, тогда надо логи крутить. У меня эта штука уже полгода работает, полёт нормальный. Порадовало, что кто-то наконец-то статью красиво написал.
"Вам будет необходимо ввести дополнительный код, полученный на ваш телефон, когда вы подключаетесь."
Код не присылается на телефон, а генерируется им.
Алсо, было бы неплохо улучшить читабельность текста. Например, "При подключении вы просто вводите дополнительный код, сгенерированный телефоном", а не то, что процитировано выше.
Но интересно, черт возьми!