OTPW viekartinės SSH autentifikacijos įdiegimas Ubuntu aplinkoje

IV_VygandasS

Šioje pamokoje pateiksime instrukcijas kaip pakankamai nesudėtingai sustiprinti serverio SSH prisijungimų saugumą naudojant OTPW Ubuntu OS aplinkoje.

OTPW - (angl. one time password authentication) autentifikacijos metodas sustiprina serverio SSH prisijungimų saugumą kiekvieną kartą prisijungimo metu reikalaujant iš vartotojo skirtingo slaptažodžio. Panaudoti slaptažodžiai nebėra naudojami, taigi yra išvengiama ne tik Brute-force atakų pasekmių, bet ir galimai vartotojo kompiuteryje esančių keylogger programų.

1. Atnaujiname sistemą, bei įdiegiame reikalingus paketus:

apt-get update
apt-get install otpw-bin libpam-otpw

2. Redaguojame SSH autentifikacijos konfigūracinį failą:

nano /etc/pam.d/sshd

Viršutinėje konfigūracinio failo dalyje rasi "include common-auth" šią eilutę užkomentuojame (pradžioje nurodome # simbolį):

#@include common-auth

Po šia eilute pridedame šias dvi eilutes:

auth    required    pam_otpw.so
session optional    pam_otpw.so

3. Konfigūruojame sshd tarnybą:

nano /etc/ssh/sshd_config

Šiame konfigūraciniame faile sutikriname, jog žemiau pateikti parametrai atitinka šias vertes:

UsePrivilegeSeparation yes
PubkeyAuthentication yes
ChallengeResponseAuthentication yes
PasswordAuthentication no
UsePAM yes

Išsaugojus pakeitimus perkrauname sshd tarnybą:

service ssh restart

4. Pageidaujamam vartotojui sugeneruojame slaptažodžių sufiksų masyvą:

cd ~
otpw-gen > nothingtosee.txt

Įvykdžius šią komandą vartotojo namų kataloge atsiras ~/.otpw failas, kurio turinyje yra užšifruoti slaptažodžių sufiksai. Prieš generuojant slaptažodžius bus paprašyta įvesti pageidaujamą slaptažodžio prefiksą - šį slaptažodį būtinai įsiminkite.

Failo turinio dalies ištrauka:

OTPW1
280 3 12 8
253tFMngG2PNYhn
132Kua%SZ+esb6t
237yH7D2FMbQsyW
125rrXfBRwnF+A%
106gJxhJE4jkknj
04135:5:knWIB4:
232/d4kI:n57IcD
244RASe8ka63b8Z
057GmqfFe=pXQqu

Komandos vykdyme nurodytame faile ~/nothingtosee.txt bus pateikti slaptažodžių sufiksai, be šifravimo. Šį failą reikės patalpinti savo kompiuteryje.

Testavimas:

Jungiamės prie serverio:

ssh demouser@server1.com

Pateikiamas slaptažodžio prašantis langas:

Password 253: 

Įvedame mūsų prieš tai sugalvotą slaptažodžio prefiksą ir iš karto po jo (be jokių tarpų) įvedame prašomą slaptažodžio sufiksą, kuris šiuo atveju būtų 253.

Slaptažodžio sufiksą gauname su numeracija iš prieš tai nurodyto nothingtosee.txt failo, pvz.:

249 N4HY RsbH
250 +vAz fawn
251 O4/R ZrhM
252 c6kP jgUT
253 I=aA OKSz
254 aYzA :F64
255 3ezp ZpIq
256 ggIi TD2v

Jeigu prašoma slaptažodžio sufiksu tokiu principu:

Password 161/208/252:

T.y. pateikiami keli numeriai, juos vedame vieną po kito be jokių papildomų simbolių iš karto po slaptažodžio prefikso.