Topic: renforcer la securité face à des clients douteux

Bonjour j'ai un peu regardé dans les depots debian pour me trouver une solution de protection vis à vis des clients non securisé et donc suceptible d'avoir des keyloguer ou autres trucs sympa...

J'ai trouvé OTPW qui permet d'avoir des passwd unique.
Je ne l'ai pas encore testé aevc mysecureshell mais je fais ce message pour dans un premier temps savoir si une personne utilise déja ce type de systéme aevc mysecureshell.

Je posterai le resultat du test de OTPW avec mysecureshell et les clients filezilla/winscp/nautilus ici.

@bientot ;-)

1 serveur dédié sous debian Lenny avec virtualisation sous openvz >>  carte via epia avec cpu c3 800mhz 1go de ddr2 et un dd en ide 160go. Ligne adsl perso 18mo/1mo et 1 serveur dédié sous debian Lenny carte asus cpu celeron 533 512 sdram et un dd de 100go raid1 en LVM. ligne sdsl 4mo (renater)             Have fun! ;)

Re: renforcer la securité face à des clients douteux

Bonjour,

Personnellement, je ne connaissait pas.
Ça a l'air vraiment bourrin et assez simple à mettre en place (vive PAM  big_smile ).

3 (edited by cemoi 2010-04-25 17:04:41)

Re: renforcer la securité face à des clients douteux

L'exemple donné ici permet d'utiliser otpw et cumulant l'authentification du systéme par defaut. Cela veut dire que quand otpw demande le passwd xxx on peut faire entrée et passé cette étape pour pouvoir s'authentifer "comme d'habitude".

J'ai donné cet exemple comme cela pour eviter de se faire bloquer wink créer quand même un utilisateur particulié pour tester cet outil.


Simple à installer déja:

apt-cache search otpw
libotpw-dev - OTPW library development files and documentation
libpam-otpw - Use OTPW for PAM authentication
otpw-bin - OTPW programs for generating OTPW lists

donc on peut faire un:

apt-get install otpw-bin libpam-otpw

Apres pour l'intégrer à ssh on passe par PAM (effectivement ça évite de modifier à partir des sources+ se taper la compilation et surtout ça evite les embrouilles quand c'est l'heure de upgrader le serveur)  pour cela on va modifier le fichier /etc/pam.d/sshd dans sa section auth:

auth           sufficient         pam_otpw.so
#standard Un*x authentification.
@include common-auth

dans la section session cela se présente comme cela:

session      optional      pam_otpw.so

On enregistre le tout et il faut maintenant aller modifier /etc/ssh/sshd_config (fichier de configuration du demon de sshd) pour activer l'option d'authentification via defi-reponse:

ChallengeResponseAuthentification yes

On enregistre le tout on redémarre le demon sshd (/etc/init.d/ssh restart)

Have Fun! ;-)

pour générer les passwd ça donne ça:

alain_t@debian:~$ otpw-gen -h 10 -p1
Generating random seed ...

If your paper password list is stolen, the thief should not gain
access to your account with this information alone. Therefore, you
need to memorize and enter below a prefix password. You will have to
enter that each time directly before entering the one-time password
(on the same line).

When you log in, a 3-digit password number will be displayed.  It
identifies the one-time password on your list that you have to append
to the prefix password. If another login to your account is in progress
at the same time, several password numbers may be shown and all
corresponding passwords have to be appended after the prefix
password. Best generate a new password list when you have used up half
of the old one.

Enter new prefix password:
Reenter prefix password:

Creating '~/.otpw'.
Generating new one-time passwords ...

OTPW list generated 2010-04-25 16:11 on debian

  000 IZdB bqyH  006 rF62 k6zi  012 JCFe 6at3  018 uaYT azuu  024 Nt7n b=fQ
  001 yCSo /VQs  007 Phvb =6ZW  013 8Pm7 DbYJ  019 OdAk H62c  025 /pOm :ZEA
  002 mESf +nWK  008 J9fH iXrn  014 MAds 6TTS  020 Aj6W 9O4P  026 DhCc yrPY
  003 x4vX HXr2  009 DGPC amts  015 B=xZ waPx  021 MzUP Ahsc  027 UWTe G3Fh
  004 A5z9 japt  010 s6cr xwZ5  016 sCgq Da5Y  022 Q=XK 4I7w  028 xszW Ha9L
  005 YCcA k29/  011 inn6 Rsa/  017 m8za o/HB  023 umS= gYoU  029 +HmG Rr6P

     !!! REMEMBER: Enter the PREFIX PASSWORD first !!!

N'oubliez pas d'imprimer cette liste ou de la mettre dans une clef usb CRYPTE. Si vous êtes un parano étbalisser une politique pour regénérer cette liste avec une/des régles de steganographie (cf google)

Pour la connexion voila comment cela se passe:

ssh alain_t@192.168.1.36
Password 003:  <<<<<< ici il demande le passwd 003 avec le prefix à mettre avant
Password:  <<<<< ici je rentre le psswd de base de l'utilisateur comme par defaut avec ssh
Linux debian 2.6.26-2-686 #1 SMP Tue Mar 9 17:35:51 UTC 2010 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun Apr 25 16:21:49 2010 from cemoi
alain_t@debian:~$


Il me reste à comprendre comment es que je peux exploiter cela à travers les clients qui tournent sous windows (winscp et filezilla).

1 serveur dédié sous debian Lenny avec virtualisation sous openvz >>  carte via epia avec cpu c3 800mhz 1go de ddr2 et un dd en ide 160go. Ligne adsl perso 18mo/1mo et 1 serveur dédié sous debian Lenny carte asus cpu celeron 533 512 sdram et un dd de 100go raid1 en LVM. ligne sdsl 4mo (renater)             Have fun! ;)

4 (edited by cemoi 2010-04-25 16:45:33)

Re: renforcer la securité face à des clients douteux

je fait une reponse à mon message précédent pour eviter que cela fasse trop long... j'attaque ici le vrai probléme qui est d'exploiter l'usage de mot de passe unique avec mysecureshell.

Pour le debut j'ai laissé le shell bash à l'utilisateur pour pouvoir lui générer les passwd (mais je ne sais pas si cela est une bonne idée...) il a donc pour le moment le shell bash pour ce premier test de connexion.

Avec le client filezilla cela donne:

Statut :    Connexion à 192.168.1.36...
Réponse :    fzSftp started
Commande :    open "alain_t@192.168.1.36" 22
Commande :    Confiance en la nouvelle clé de l'hôte :Une seule fois
Commande :    Pass:
Erreur :    Le serveur a envoyé une requête d'identification additionnelle. Vous devez utiliser un type d'identification interactif.
Erreur :    Erreur critique
Erreur :    Impossible d'établir une connexion au serveur

Ce qui est logique... allé je vais creuser! :]

[edit]>>

bon j'ai trouvé la doc qui dit que c'est possible!

Dans la section: Alternative Method >>
http://wiki.filezilla-project.org/Howto

effectivement dans les propriétés de type d'authentification quand on fait un compte on peut choisir interactive

ça donne une fenetre de ce type avec l'utilisation de otpw:

http://matlane2000.free.fr/divers/Capture-Entrer%20le%20mot%20de%20passe.png

là il demande 3 mot de passes (007/011/002 (sans oublier le prefix secret) car j'ai raté la première authentification (mauvais mot de passe) :]
dans la config que j'ai donné plus haut pour les .conf si je tape entrée je passe à l'authentification normal (juste un mot de passe et toujours le même). Donc prudence l'exemple ici n'est pas pour de la production (quoi que... faut voir l'usage).

1 serveur dédié sous debian Lenny avec virtualisation sous openvz >>  carte via epia avec cpu c3 800mhz 1go de ddr2 et un dd en ide 160go. Ligne adsl perso 18mo/1mo et 1 serveur dédié sous debian Lenny carte asus cpu celeron 533 512 sdram et un dd de 100go raid1 en LVM. ligne sdsl 4mo (renater)             Have fun! ;)

Re: renforcer la securité face à des clients douteux

Sympa, je "stick" le post smile

6 (edited by cemoi 2010-04-25 19:54:35)

Re: renforcer la securité face à des clients douteux

Je vais maintenant chercher:

  • à savoir si je peux faire ça avec /bin/MySecureShell car dans l'exemple c'est bin/bash>>ok

  • à savoir si winscp supporte l'authentification interactive comme filezilla
    [on dirai que oui >> http://winscp.net/eng/docs/ui_login_authentication]

  • à faire la conf de sorte que l'authentification ne passe que par otpw et non plus par les deux (otpw et classique)>>ok

ps: merci pour le compliment

1 serveur dédié sous debian Lenny avec virtualisation sous openvz >>  carte via epia avec cpu c3 800mhz 1go de ddr2 et un dd en ide 160go. Ligne adsl perso 18mo/1mo et 1 serveur dédié sous debian Lenny carte asus cpu celeron 533 512 sdram et un dd de 100go raid1 en LVM. ligne sdsl 4mo (renater)             Have fun! ;)

Re: renforcer la securité face à des clients douteux

Super big_smile

8 (edited by cemoi 2010-04-26 19:34:25)

Re: renforcer la securité face à des clients douteux

je cherche encore pour winscp... sad

J'ai tenté ça:

http://www.lunarc.lu.se/Support/otp-cli … figuration

mais rien hmm il semble pourtant que cela soit possible mais alors comment?... si une personne sait ça je suis preneur.

1 serveur dédié sous debian Lenny avec virtualisation sous openvz >>  carte via epia avec cpu c3 800mhz 1go de ddr2 et un dd en ide 160go. Ligne adsl perso 18mo/1mo et 1 serveur dédié sous debian Lenny carte asus cpu celeron 533 512 sdram et un dd de 100go raid1 en LVM. ligne sdsl 4mo (renater)             Have fun! ;)

Re: renforcer la securité face à des clients douteux

J'ai migré la config sur une vm si vous voulez chercher (pour m'aider à capter le reglage quivabien sur winscp) je le met en ligne via un nom de domaine bidon. Faite moi signe ici wink-

1 serveur dédié sous debian Lenny avec virtualisation sous openvz >>  carte via epia avec cpu c3 800mhz 1go de ddr2 et un dd en ide 160go. Ligne adsl perso 18mo/1mo et 1 serveur dédié sous debian Lenny carte asus cpu celeron 533 512 sdram et un dd de 100go raid1 en LVM. ligne sdsl 4mo (renater)             Have fun! ;)