L'exemple donné ici permet d'utiliser otpw et cumulant l'authentification du systéme par defaut. Cela veut dire que quand otpw demande le passwd xxx on peut faire entrée et passé cette étape pour pouvoir s'authentifer "comme d'habitude".
J'ai donné cet exemple comme cela pour eviter de se faire bloquer créer quand même un utilisateur particulié pour tester cet outil.
Simple à installer déja:
apt-cache search otpw
libotpw-dev - OTPW library development files and documentation
libpam-otpw - Use OTPW for PAM authentication
otpw-bin - OTPW programs for generating OTPW lists
donc on peut faire un:
apt-get install otpw-bin libpam-otpw
Apres pour l'intégrer à ssh on passe par PAM (effectivement ça évite de modifier à partir des sources+ se taper la compilation et surtout ça evite les embrouilles quand c'est l'heure de upgrader le serveur) pour cela on va modifier le fichier /etc/pam.d/sshd dans sa section auth:
auth sufficient pam_otpw.so
#standard Un*x authentification.
@include common-auth
dans la section session cela se présente comme cela:
session optional pam_otpw.so
On enregistre le tout et il faut maintenant aller modifier /etc/ssh/sshd_config (fichier de configuration du demon de sshd) pour activer l'option d'authentification via defi-reponse:
ChallengeResponseAuthentification yes
On enregistre le tout on redémarre le demon sshd (/etc/init.d/ssh restart)
Have Fun! ;-)
pour générer les passwd ça donne ça:
alain_t@debian:~$ otpw-gen -h 10 -p1
Generating random seed ...
If your paper password list is stolen, the thief should not gain
access to your account with this information alone. Therefore, you
need to memorize and enter below a prefix password. You will have to
enter that each time directly before entering the one-time password
(on the same line).
When you log in, a 3-digit password number will be displayed. It
identifies the one-time password on your list that you have to append
to the prefix password. If another login to your account is in progress
at the same time, several password numbers may be shown and all
corresponding passwords have to be appended after the prefix
password. Best generate a new password list when you have used up half
of the old one.
Enter new prefix password:
Reenter prefix password:
Creating '~/.otpw'.
Generating new one-time passwords ...
OTPW list generated 2010-04-25 16:11 on debian
000 IZdB bqyH 006 rF62 k6zi 012 JCFe 6at3 018 uaYT azuu 024 Nt7n b=fQ
001 yCSo /VQs 007 Phvb =6ZW 013 8Pm7 DbYJ 019 OdAk H62c 025 /pOm :ZEA
002 mESf +nWK 008 J9fH iXrn 014 MAds 6TTS 020 Aj6W 9O4P 026 DhCc yrPY
003 x4vX HXr2 009 DGPC amts 015 B=xZ waPx 021 MzUP Ahsc 027 UWTe G3Fh
004 A5z9 japt 010 s6cr xwZ5 016 sCgq Da5Y 022 Q=XK 4I7w 028 xszW Ha9L
005 YCcA k29/ 011 inn6 Rsa/ 017 m8za o/HB 023 umS= gYoU 029 +HmG Rr6P
!!! REMEMBER: Enter the PREFIX PASSWORD first !!!
N'oubliez pas d'imprimer cette liste ou de la mettre dans une clef usb CRYPTE. Si vous êtes un parano étbalisser une politique pour regénérer cette liste avec une/des régles de steganographie (cf google)
Pour la connexion voila comment cela se passe:
ssh alain_t@192.168.1.36
Password 003: <<<<<< ici il demande le passwd 003 avec le prefix à mettre avant
Password: <<<<< ici je rentre le psswd de base de l'utilisateur comme par defaut avec ssh
Linux debian 2.6.26-2-686 #1 SMP Tue Mar 9 17:35:51 UTC 2010 i686
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sun Apr 25 16:21:49 2010 from cemoi
alain_t@debian:~$
Il me reste à comprendre comment es que je peux exploiter cela à travers les clients qui tournent sous windows (winscp et filezilla).
1 serveur dédié sous debian Lenny avec virtualisation sous openvz >> carte via epia avec cpu c3 800mhz 1go de ddr2 et un dd en ide 160go. Ligne adsl perso 18mo/1mo et 1 serveur dédié sous debian Lenny carte asus cpu celeron 533 512 sdram et un dd de 100go raid1 en LVM. ligne sdsl 4mo (renater) Have fun! ;)