* [Comm] TOTP 2FA - кто-то использует?
@ 2024-06-04 10:20 Алексей В. Мезин
2024-06-04 22:14 ` Alexei V. Mezin
0 siblings, 1 reply; 4+ messages in thread
From: Алексей В. Мезин @ 2024-06-04 10:20 UTC (permalink / raw)
To: community
Был у меня сервер чуть ли не с p8, который в итоге дообновлялся,
кажется, до p10. И когда-то давно я запустил на нем двухфакторную
аутентификацию на одноразовых паролях на основе текущего времени из
google-autheticator. С настройками проблем не возникло, главное было
вписать в /etc/pam.d/sshd строку
auth required pam_google_autheticator.so
и при логине по ssh начинало спрашивать не только пароль, но и
"verification code".
Однако, что-то в этой механике сломалось, и в p11 больше не работает (в
centos 9 тоже не работает). "Управление" в нужный момент передается
pam_google_authenticator, но на экране запроса на ввод кода не
появляется, а в логах ругань, что этот модуль трижды не получил нужного
кода.
Поэтому вопрос: это я не умею этот pam+ssh готовить, и как-то можно
настроить гугловскую библиотеку?
Еще вопрос: кто-то использует какие-то альтернативы? И нет ли у нас
какой-то стандартной ручки для настройки? Потому что описание oath -
какое-то лютое ручное прилепливание пятой ноги к собаке. Хотя, казалось
бы, тема очень важная, и должно быть все системно и дистрибутивно.
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [Comm] TOTP 2FA - кто-то использует?
2024-06-04 10:20 [Comm] TOTP 2FA - кто-то использует? Алексей В. Мезин
@ 2024-06-04 22:14 ` Alexei V. Mezin
2024-06-10 22:03 ` [Comm] Непонятное что-то с ssh клиентом Alexei V. Mezin
0 siblings, 1 reply; 4+ messages in thread
From: Alexei V. Mezin @ 2024-06-04 22:14 UTC (permalink / raw)
To: community
04.06.2024 13:20, Алексей В. Мезин пишет:
> Однако, что-то в этой механике сломалось
Причем именно в связке PAM+ssh. Потому что, например, PAM+su все отлично
работает. А в ssh ни в какую не хочет запрашивать код, независимо от
использования google иди oath.
На openssh из p10 все работает, на сизифе/p11 никак. :(
^ permalink raw reply [flat|nested] 4+ messages in thread
* [Comm] Непонятное что-то с ssh клиентом
2024-06-04 22:14 ` Alexei V. Mezin
@ 2024-06-10 22:03 ` Alexei V. Mezin
2024-06-11 20:16 ` Alexei V. Mezin
0 siblings, 1 reply; 4+ messages in thread
From: Alexei V. Mezin @ 2024-06-10 22:03 UTC (permalink / raw)
To: community
Продолжаю попытки запустить 2FA, на основе google authenticator или
oath. Ничего не помогает :(
pamtester sshd USERNAME authenticate
работает отлично, спрашивает пароль, затем код. То есть PAM работает
ровно так, как ожидается. Значит виноват ssh!
Обнаружил вот такое:
имеется сервер с p10, в /etc/pam.d/sshd включен вызов google
authenticator. При попытке зайти по ssh на этот хост с машины с p10 все
получается. Если попытаться зайти с машины с p11, то залогиниться
невозможною! Как так? Почему от версии клиента зависит возможность входа?!!
Вот что в логах клиента:
с работающей машины
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue:
publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/alexei/.ssh/id_ed25519
debug1: Trying private key: /home/alexei/.ssh/id_rsa
debug1: Trying private key: /home/alexei/.ssh/id_ecdsa
debug1: Trying private key: /home/alexei/.ssh/id_dsa
debug1: Trying private key: /home/alexei/.ssh/id_xmss
debug2: we did not send a packet, disable method
debug1: Next authentication method: keyboard-interactive
debug2: userauth_kbdint
debug2: we sent a keyboard-interactive packet, wait for reply
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Password:
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 1
Verification code: 423918
debug2: input_userauth_info_req
debug2: input_userauth_info_req: num_prompts 0
debug1: Authentication succeeded (keyboard-interactive).
Authenticated to 192.168.200.254 ([192.168.200.254]:2022).
а вот с неработающей
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue:
publickey,password,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Will attempt key: /home/builder/.ssh/id_ed25519
debug1: Will attempt key: /home/builder/.ssh/id_ed25519_sk
debug1: Will attempt key: /home/builder/.ssh/id_rsa RSA
SHA256:rY52T/bfdmkk3Rs7re8vC1S41STJn437VocwteGAms4
debug1: Will attempt key: /home/builder/.ssh/id_ecdsa
debug1: Will attempt key: /home/builder/.ssh/id_ecdsa_sk
debug1: Will attempt key: /home/builder/.ssh/id_dsa
debug1: Will attempt key: /home/builder/.ssh/id_xmss
debug2: pubkey_prepare: done
debug1: Trying private key: /home/builder/.ssh/id_ed25519
debug1: Trying private key: /home/builder/.ssh/id_ed25519_sk
debug1: Offering public key: /home/builder/.ssh/id_rsa RSA
SHA256:rY52T/bfdmkk3Rs7re8vC1S41STJn437VocwteGAms4
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue:
publickey,password,keyboard-interactive
debug1: Trying private key: /home/builder/.ssh/id_ecdsa
debug1: Trying private key: /home/builder/.ssh/id_ecdsa_sk
debug1: Trying private key: /home/builder/.ssh/id_dsa
debug1: Trying private key: /home/builder/.ssh/id_xmss
debug2: we did not send a packet, disable method
debug1: Next authentication method: password
alexei@192.168.200.254's password:
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue:
publickey,password,keyboard-interactive
ssh: Permission denied, please try again.
То есть в обоих случаях перечислены одинаковые методы аутентификации
publickey,password,keyboard-interactive
И в обоих случаях сначала проверяется наличие ключа. Но ключа нет. А
потом в работающем случае объявляется, что далее keyboard-interactive, и
запрашивается пароль, затем проверочный код, и в итоге удачный вход в
систему. А во втором случае переходит к password, выдается запрос на
пароль, но даже при верном пароле аутентификации не происходит, и запрос
на ввод кода не появляется. Хотя запрос допжен появляться всегда, даже
при неправильном пароле.
Различия в системах в версии клиента.
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [Comm] Непонятное что-то с ssh клиентом
2024-06-10 22:03 ` [Comm] Непонятное что-то с ssh клиентом Alexei V. Mezin
@ 2024-06-11 20:16 ` Alexei V. Mezin
0 siblings, 0 replies; 4+ messages in thread
From: Alexei V. Mezin @ 2024-06-11 20:16 UTC (permalink / raw)
To: community
11.06.2024 01:03, Alexei V. Mezin пишет:
> И в обоих случаях сначала проверяется наличие ключа. Но ключа нет. А
> потом в работающем случае объявляется, что далее keyboard-interactive
Хм... для sshd что-то похожее сообщалось аж 3+ года назад
https://bugzilla.altlinux.org/38977
Но сейчас я наблюдаю ситуация с клиентом, а не с сервером. То есть из
p10 или из Centos9 я могу зайти на свой сервер (p11) по ssh, потому что
клиент согласен на keyboard-interactive, а с Сизифа/p11 не могу, потому
что клиент соглашается только на password. Или, если ему насильно
указать, что единственный доступный метод это keyboard-interactive, то
просто не начинает аутентификацию.
Я что-то неправильно готовлю, или на пакет ssh нужно вешать блокирующий баг?
^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2024-06-11 20:16 UTC | newest]
Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2024-06-04 10:20 [Comm] TOTP 2FA - кто-то использует? Алексей В. Мезин
2024-06-04 22:14 ` Alexei V. Mezin
2024-06-10 22:03 ` [Comm] Непонятное что-то с ssh клиентом Alexei V. Mezin
2024-06-11 20:16 ` Alexei V. Mezin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git