Diferencia entre revisiones de «Ssh con autenticación de dos factores»
m (En proceso) |
m (En proceso) |
||
Línea 1: | Línea 1: | ||
{{SecCiones}} | {{SecCiones}} | ||
− | == | + | == Receta_113 == |
'''Título''': Ssh con autenticación de dos factores | '''Título''': Ssh con autenticación de dos factores | ||
Línea 59: | Línea 59: | ||
== Enlaces == | == Enlaces == | ||
− | http://www.cl.cam.ac.uk/~mgk25/otpw.html | + | http://www.cl.cam.ac.uk/~mgk25/otpw.html<br> |
− | http://motp.sourceforge.net/ | + | http://motp.sourceforge.net/<br> |
− | http://marcin.studio4plus.com/en/otpgen/index.html | + | http://marcin.studio4plus.com/en/otpgen/index.html<br> |
− | http://www.debian-administration.org/article/510/Implementing_cost_effective_dual_factor_authentication | + | http://www.debian-administration.org/article<br>/510/Implementing_cost_effective_dual_factor_authentication<br> |
http://freeauth.org | http://freeauth.org | ||
[[Categoría:Recetas]] | [[Categoría:Recetas]] |
Revisión del 00:44 7 sep 2010
Secciones |
• HomePage • ¿Qué es e-ghost? • Proyectos • Herramientas • Documentos • Recetas • Cursos • Reuniones • Enlaces • Humor • GhostLog • Alternativas Libres • Contacto • Euskaraz • |
---|
Contenido
Receta_113
Título: Ssh con autenticación de dos factores
Autor: AngelD (angeld en froga punto net)
Una forma sencilla de aumentar la seguridad en los accesos a sistemas remotos.
Software analizado
Antes de llegar a esta solución, se han analizado varias opciones. Se ha escogido otpw al ser muy fácil de implementar y no necesitar hardware adicional, porque las contraseñas se pueden "en papel".
opie
Disponible en los repositorios Debian. Tiene un cliente para móviles. Posiblemente también se puedan generar listados de passwords.
Free Auth
Un proyecto muy interesante y prometedor, que genera passwords en base a la fecha y hora, al estilo de los carísimos "tokens" físicos. Se requiere un dispositivo para generar la password, siendo imposible generar listados.
optw
Con unos cuantos años a sus espaldas, es un sistema muy sencillo de implementar. Apto para aumentar la seguridad sin recurrir a hardware, y el escogido en este caso.
Instalación
Sistemas utilizados
- Debian Lenny
- Debian Squeeze
Paquetes para Debian
Para Debian hay que instalar los siguientes paquetes:
libpam-otpw otpw-bin
Configuración 'pam' (Pluggable Authentication Modules)
En este caso sólo se ha modificado la configuración relacionada con 'ssh', porque sólo deseamos añadir seguridad en los accesos remotos.
- /etc/pam.d/sshd
Añadiremos las siguientes líneas justo antes de Standard Un*x authentication:
auth sufficient pam_otpw.so session optional pam_otpw.so
De esta manera conseguimos que primero nos pida la contraseña de un sólo uso, pero no desactivamos las contraseñas normales. Tras tres reintentos se pide la contraseña normal.
Configuración de 'ssh'
En Debian hay que activar el parámetro que permite a ssh internacionalizarse con los módulos pam:
- /etc/ssh/sshd_config
ChallengeResponseAuthentication yes
Enlaces
http://www.cl.cam.ac.uk/~mgk25/otpw.html
http://motp.sourceforge.net/
http://marcin.studio4plus.com/en/otpgen/index.html
http://www.debian-administration.org/article
/510/Implementing_cost_effective_dual_factor_authentication
http://freeauth.org