Re: [FUG-BR] SSH com chave e senha
Pegando carona no assunto, Alguém aqui usa algum dispositivo de biometria no FreeBSD? Aqui uso um upek reconhecido aqui como: ugen1.3: at usbus1 Bus /dev/usb Device /dev/ugen1.3: ID 0483:2016 SGS Thomson Microelectronics Fingerprint Reader Pela libfprint reconhece direitnho e consigo fazer autenticação pela PAM, mas só consegui via logins de console ou quando dou um su, por ssh por exemplo não consegui fazer funcionar ainda. abs, Vinicius - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
Caríssimos Aqui vai o meu R$0,01: se o problema é restringir o acesso, a minha política de segurança é: 1) PermitRootLogin no (impede tentativas de loggar-se diretamente como root); 2) PasswordAuthentication no (mesmo que o atacante tenha a senha do usuário, ele precisa conhecer a passphrase; desnecessário dizer que uma passphrase diferente da senha deve ser gerada); 3) Jean Everson Martina wrote: > Qual a diferença em termos de segurança da solução que você quer? > > Ao meu ver tem uma justificativa pra não ter a solução do jeito que > você quer, simplesmente porque ela não adiciona nada em termos de > segurança. Então se opta pela solução mais simples. > > Se o atacante copiar a senha da chave, é o mesmo que copiar a senha > comum. Se o cara consegue copiar uma senha, o que impede ele de copiar > a outra? E no final das contas o par de chaves vai ter que ser > descartado de qq jeito porque o atacante teve acesso. > > Meus dois centavos, > > > Jean > > On 8 Jun 2009, at 20:02, Enio Marconcini -:- www.Enio.Pro.Br -:- wrote: > >> como foi explicado acima, eu já testei com sucesso a autenticação pela >> chave (ssh-keygen usando senha) só queria reforçar e ter que >> obrigatoriamente ter a chave e o nome de usuário/senha da autenticação >> convencional (/etc/passwd/shadow) > > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
Infelizmente isto não é usar dois métodos, mas sim usar duas vezes o mesmo método, o que não adiciona nada a segurança, pois não defende de um atacante mais bem posicionado. Só faria alguma diferença se a sua chave estivesse guardada em um token (tipo um smart card), onde a chave passaria a ter a propriedade de unicidade (ela só existe em um lugar e não pode ser copiada pra outro). Nesse caso a chave seria "what you have". Principalmente porque você está usando duas vezes um método baseado em "what you know", que é a forma mais fraca de autenticação, não faz sentido. Empilhar métodos de posse e biometria até faz algum sentido, mas não métodos de conhecimento. Se o atacante roubar a chave cifrada, ele ainda precisa da senha. Se ele roubar a senha da chave cifrada, o que impede ele de roubar a senha do passwd? Pra aumentar o seu grau de segurança, você tem que fazer o que o Douglas Santos sugeriu e ir pra tokens ou definitivamente para biometria. Inclusive eu e ele ja trabalhamos em um projeto em que usavamos smart cards e tokens em FreeBSD. É super estável e seguro.Tudo isso para aplicações críticas de segurança (AC Raiz da ICP-EDU e da ICP-Brasil). Jean On 11 Jun 2009, at 01:17, Enio Marconcini -:- www.Enio.Pro.Br -:- wrote: exatamente, eu teria um ambiente onde o acesso ao shell seria forçado a dois métodos de autenticação, unicamente, seria necessário ter a chave e a senha de usuário é bem interessante isso, mas pelo menos nos meus testes isso não foi possível... configurei o SSHD para autenticar com chave, e deixei setado PasswordAuthenticate como YES se eu tiver a chave, basta informar o nome de usuário (sem senha) que o acesso ao shell é permitido mas se eu não tiver a senha, a autenticação convencional é feita, pedindo nome de usuário e senha a minha idéia é forçar dois métodos de autenticação, se passar nos dois (chave + user/senha) aí sim é fornecido o acesso ao shell. abraços Pelo que pude entender, mesmo que o carinha obtenha a chave ele não conseguiria autenticar no servidor porque não tem conhecimento da senha para a segunda autenticação (a não ser que tenha a chave mais a senha). Não acompanhei essa discussão, mas parece ser isso. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm Administrador de Redes e Professor Universitário Especialista em Redes de Computadores Análise de Sistemas e Banco de Dados Slackware Linux, OpenBSD e FreeBSD Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd PGP.sig Description: This is a digitally signed message part - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
exatamente, eu teria um ambiente onde o acesso ao shell seria forçado a dois métodos de autenticação, unicamente, seria necessário ter a chave e a senha de usuário é bem interessante isso, mas pelo menos nos meus testes isso não foi possível... configurei o SSHD para autenticar com chave, e deixei setado PasswordAuthenticate como YES se eu tiver a chave, basta informar o nome de usuário (sem senha) que o acesso ao shell é permitido mas se eu não tiver a senha, a autenticação convencional é feita, pedindo nome de usuário e senha a minha idéia é forçar dois métodos de autenticação, se passar nos dois (chave + user/senha) aí sim é fornecido o acesso ao shell. abraços > Pelo que pude entender, mesmo que o carinha obtenha a chave ele não > conseguiria autenticar no servidor porque não tem conhecimento da > senha para a segunda autenticação (a não ser que tenha a chave mais a > senha). Não acompanhei essa discussão, mas parece ser isso. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm > Administrador de Redes e Professor Universitário > Especialista em Redes de Computadores > Análise de Sistemas e Banco de Dados > Slackware Linux, OpenBSD e FreeBSD > Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
2009/6/10 Jean Everson Martina : > Qual a diferença em termos de segurança da solução que você quer? > > Ao meu ver tem uma justificativa pra não ter a solução do jeito que você > quer, simplesmente porque ela não adiciona nada em termos de segurança. > Então se opta pela solução mais simples. > > Se o atacante copiar a senha da chave, é o mesmo que copiar a senha comum. > Se o cara consegue copiar uma senha, o que impede ele de copiar a outra? E > no final das contas o par de chaves vai ter que ser descartado de qq jeito > porque o atacante teve acesso. > > Meus dois centavos, > > Boa noite. Pelo que pude entender, mesmo que o carinha obtenha a chave ele não conseguiria autenticar no servidor porque não tem conhecimento da senha para a segunda autenticação (a não ser que tenha a chave mais a senha). Não acompanhei essa discussão, mas parece ser isso. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
Qual a diferença em termos de segurança da solução que você quer? Ao meu ver tem uma justificativa pra não ter a solução do jeito que você quer, simplesmente porque ela não adiciona nada em termos de segurança. Então se opta pela solução mais simples. Se o atacante copiar a senha da chave, é o mesmo que copiar a senha comum. Se o cara consegue copiar uma senha, o que impede ele de copiar a outra? E no final das contas o par de chaves vai ter que ser descartado de qq jeito porque o atacante teve acesso. Meus dois centavos, Jean On 8 Jun 2009, at 20:02, Enio Marconcini -:- www.Enio.Pro.Br -:- wrote: como foi explicado acima, eu já testei com sucesso a autenticação pela chave (ssh-keygen usando senha) só queria reforçar e ter que obrigatoriamente ter a chave e o nome de usuário/senha da autenticação convencional (/etc/passwd/shadow) PGP.sig Description: This is a digitally signed message part - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
2009/6/8 Enio Marconcini -:- www.Enio.Pro.Br -:- : > > mas acho que também não tem jeito, vou ter que escolher entre chave ou > senha comum, Nesse caso sim, pois a chave é o meio de autenticação e é considerada suficiente. Pois você tem que possuir a chave e o passphrasse. Uma solução mais simples seria você criar uma conta com poucos privilégios e dai partir para um su/sudo que vai pedir uma segunda senha. Tudo isso pode ser feito de forma transparente para o usuário via shell script. Se esta pensando em uma solução mais robusta, pode considerar o uso de smartcards para autenticação via ssh. http://www.opensc-project.org/opensc/wiki/SecureShell - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
é oq eu tenho pensando tbm como foi explicado acima, eu já testei com sucesso a autenticação pela chave (ssh-keygen usando senha) só queria reforçar e ter que obrigatoriamente ter a chave e o nome de usuário/senha da autenticação convencional (/etc/passwd/shadow) mas acho que também não tem jeito, vou ter que escolher entre chave ou senha comum, valeu amigos -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm > Administrador de Redes e Professor Universitário > Especialista em Redes de Computadores > Análise de Sistemas e Banco de Dados > Slackware Linux, OpenBSD e FreeBSD > Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
2009/6/8 irado furioso com tudo : > Em Mon, 8 Jun 2009 11:25:28 -0300 > "Enio Marconcini -:- www.Enio.Pro.Br -:-" , conhecido > consumidor de drogas (BigMac's com Coke) escreveu: > >> é exatamente o que eu preciso, forçar uma autenticação por senha >> normalmente, mas que tenha a chave, assim somente quem tiver a chave e >> a senha poderá se conectar > > tenho acompanhado mas (acho) não estou entendendo bem a trédi: > > quando vc usa o ssh-keygen, automáticamente êle solicita um password > que vc pode ou não digitar. Digitando, essa senha (que não precisa ser > a mesma utilizada normalmente pelo usuário) passa a ser solicitada > quando do acesso ao remoto. Não sendo digitada (como APARENTEMENTE vc > fez), não será solicitada senha e vc "cai" diretamente na shell. > > O que é que eu não estou entendendo, afinal? Irado, O que ele quer é que o cara use a chave (com ou sem senha) e que além da chave precise digitar a senha que fica lá no server. No caso que vc citou e que eu também citei, a senha fica na chave, ou seja, no lado do cliente. Eu sinceramente não acho que seja possível fazer o sshd exigir dois métodos de auth pra estabelecer uma conexão. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
Em Mon, 8 Jun 2009 11:25:28 -0300 "Enio Marconcini -:- www.Enio.Pro.Br -:-" , conhecido consumidor de drogas (BigMac's com Coke) escreveu: > é exatamente o que eu preciso, forçar uma autenticação por senha > normalmente, mas que tenha a chave, assim somente quem tiver a chave e > a senha poderá se conectar tenho acompanhado mas (acho) não estou entendendo bem a trédi: quando vc usa o ssh-keygen, automáticamente êle solicita um password que vc pode ou não digitar. Digitando, essa senha (que não precisa ser a mesma utilizada normalmente pelo usuário) passa a ser solicitada quando do acesso ao remoto. Não sendo digitada (como APARENTEMENTE vc fez), não será solicitada senha e vc "cai" diretamente na shell. O que é que eu não estou entendendo, afinal? -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Homens convictos são prisioneiros Nietzsche - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
é exatamente o que eu preciso, forçar uma autenticação por senha normalmente, mas que tenha a chave, assim somente quem tiver a chave e a senha poderá se conectar 2009/6/8 Renato Botelho : > 2009/6/5 Enio Marconcini -:- www.Enio.Pro.Br -:- : >> consegui aqui amigo, gerei as chaves e está autenticando somente com a >> chave, digito o usuário e já cai no shell, mas gostaria de reforçar e >> mesmo com a chave, pedir a senha do usuário >> >> tem jeito? > > Você tá querendo que o ssh utilize dois tipos de autenticação > na mesma conexão, isso eu creio que não seja possível. > > O que ocorre normalmente é que a chave possui uma senha > *dela*, e quando o cliente vai conectar essa senha é solicitada. > > Mas nada impede que o cliente, que é o dono da chave remova > a senha, troque-a ou então use um ssh-agent pra guardar a senha > durante um período. > > -- > Renato Botelho > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm > Administrador de Redes e Professor Universitário > Especialista em Redes de Computadores > Análise de Sistemas e Banco de Dados > Slackware Linux, OpenBSD e FreeBSD > Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
2009/6/5 Enio Marconcini -:- www.Enio.Pro.Br -:- : > consegui aqui amigo, gerei as chaves e está autenticando somente com a > chave, digito o usuário e já cai no shell, mas gostaria de reforçar e > mesmo com a chave, pedir a senha do usuário > > tem jeito? Você tá querendo que o ssh utilize dois tipos de autenticação na mesma conexão, isso eu creio que não seja possível. O que ocorre normalmente é que a chave possui uma senha *dela*, e quando o cliente vai conectar essa senha é solicitada. Mas nada impede que o cliente, que é o dono da chave remova a senha, troque-a ou então use um ssh-agent pra guardar a senha durante um período. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
consegui aqui amigo, gerei as chaves e está autenticando somente com a chave, digito o usuário e já cai no shell, mas gostaria de reforçar e mesmo com a chave, pedir a senha do usuário tem jeito? 2009/6/5 Enio Marconcini -:- www.Enio.Pro.Br -:- : > consegui aqui amigo, gerei as chaves e está autenticando somente com a > chave, digito o usuário e já cai no shell, mas gostaria de reforçar e > mesmo com a chave, pedir a senha do usuário > > tem jeito? > > -- > ENIO RODRIGO MARCONCINI > www.Enio.Pro.Br > skype: eniorm > >> Administrador de Redes e Professor Universitário >> Especialista em Redes de Computadores >> Análise de Sistemas e Banco de Dados >> Slackware Linux, OpenBSD e FreeBSD >> Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras > -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm > Administrador de Redes e Professor Universitário > Especialista em Redes de Computadores > Análise de Sistemas e Banco de Dados > Slackware Linux, OpenBSD e FreeBSD > Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
consegui aqui amigo, gerei as chaves e está autenticando somente com a chave, digito o usuário e já cai no shell, mas gostaria de reforçar e mesmo com a chave, pedir a senha do usuário tem jeito? -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm > Administrador de Redes e Professor Universitário > Especialista em Redes de Computadores > Análise de Sistemas e Banco de Dados > Slackware Linux, OpenBSD e FreeBSD > Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
fiz um tutorial pra isso da uma lida Configurando SSH pra utilizar somente chaves para autenticação http://biosystems.ath.cx:8080/wiki/doku.php?id=manuais:sshkeys 2009/6/3 irado furioso com tudo : > Em Wed, 3 Jun 2009 16:50:59 -0300 > "Enio Marconcini -:- www.Enio.Pro.Br -:-" , conhecido > consumidor de drogas (BigMac's com Coke) escreveu: > >> na net achei alguns tutoriais estranhos >> para Linux para autenticar somente com chave, mas eu tenho interesse >> em chave+senha >> >> será que alguém ja experimentou isso e tem alguma dica para me ajudar > > > nem tanto estranho: vc deve criar a chave COM senha. Assim, vc troca as > chaves, porém será solicitada senha também. > > -- > saudações, > irado furioso com tudo > Linux User 179402/FreeBSD BSD50853/FUG-BR 154 > Não uso drogas - 100% Miko$hit-free > Preces nunca trazem nada... Elas podem trazer consolo para o esgotado, > o fanático, o ignorante, o aborígene, e o preguiçoso - mas para o culto > é o mesmo que pedir para o Papai Noel trazer algo para o Natal. W. C. > Fields > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- - = - = - = - = - = - = - = - = - = - <. Of course it runsWilliam David Armstrong <|== Bio Systems Security Networking <' FreeBSD MSN / GT biosystems gmail . com http://biosystems.ath.cx:8080/ http://biosystems.broker.freenet6.net/ -- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
Em Wed, 3 Jun 2009 16:50:59 -0300 "Enio Marconcini -:- www.Enio.Pro.Br -:-" , conhecido consumidor de drogas (BigMac's com Coke) escreveu: > na net achei alguns tutoriais estranhos > para Linux para autenticar somente com chave, mas eu tenho interesse > em chave+senha > > será que alguém ja experimentou isso e tem alguma dica para me ajudar nem tanto estranho: vc deve criar a chave COM senha. Assim, vc troca as chaves, porém será solicitada senha também. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Preces nunca trazem nada... Elas podem trazer consolo para o esgotado, o fanático, o ignorante, o aborígene, e o preguiçoso - mas para o culto é o mesmo que pedir para o Papai Noel trazer algo para o Natal. W. C. Fields - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] SSH com chave e senha
Boa tarde amigos, eis meu primeiro post aqui na lista pois bem sou um novato no mundo FreeBSD mas tenho me adaptado bem, e tenho gostado muito e já tenho em mente pro futuro ir migrando meus servers estou tentando fazer o seguinte: configurar meu servidor de teste com FreeBSD para só autenticar o usuário ssh (uso através do putty ou direto pelo ssh client) que esse usuário só seja autenticado caso tenha a chave e a senha... na net achei alguns tutoriais estranhos para Linux para autenticar somente com chave, mas eu tenho interesse em chave+senha será que alguém ja experimentou isso e tem alguma dica para me ajudar abraços -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm > Administrador de Redes e Professor Universitário > Especialista em Redes de Computadores > Análise de Sistemas e Banco de Dados > Slackware Linux, OpenBSD e FreeBSD > Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd