* [Comm] TOTP 2FA - кто-то использует? @ 2024-06-04 10:20 Алексей В. Мезин 2024-06-04 22:14 ` Alexei V. Mezin 0 siblings, 1 reply; 4+ messages in thread From: Алексей В. Мезин @ 2024-06-04 10:20 UTC (permalink / raw) To: community Был у меня сервер чуть ли не с p8, который в итоге дообновлялся, кажется, до p10. И когда-то давно я запустил на нем двухфакторную аутентификацию на одноразовых паролях на основе текущего времени из google-autheticator. С настройками проблем не возникло, главное было вписать в /etc/pam.d/sshd строку auth required pam_google_autheticator.so и при логине по ssh начинало спрашивать не только пароль, но и "verification code". Однако, что-то в этой механике сломалось, и в p11 больше не работает (в centos 9 тоже не работает). "Управление" в нужный момент передается pam_google_authenticator, но на экране запроса на ввод кода не появляется, а в логах ругань, что этот модуль трижды не получил нужного кода. Поэтому вопрос: это я не умею этот pam+ssh готовить, и как-то можно настроить гугловскую библиотеку? Еще вопрос: кто-то использует какие-то альтернативы? И нет ли у нас какой-то стандартной ручки для настройки? Потому что описание oath - какое-то лютое ручное прилепливание пятой ноги к собаке. Хотя, казалось бы, тема очень важная, и должно быть все системно и дистрибутивно. ^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [Comm] TOTP 2FA - кто-то использует? 2024-06-04 10:20 [Comm] TOTP 2FA - кто-то использует? Алексей В. Мезин @ 2024-06-04 22:14 ` Alexei V. Mezin 2024-06-10 22:03 ` [Comm] Непонятное что-то с ssh клиентом Alexei V. Mezin 0 siblings, 1 reply; 4+ messages in thread From: Alexei V. Mezin @ 2024-06-04 22:14 UTC (permalink / raw) To: community 04.06.2024 13:20, Алексей В. Мезин пишет: > Однако, что-то в этой механике сломалось Причем именно в связке PAM+ssh. Потому что, например, PAM+su все отлично работает. А в ssh ни в какую не хочет запрашивать код, независимо от использования google иди oath. На openssh из p10 все работает, на сизифе/p11 никак. :( ^ permalink raw reply [flat|nested] 4+ messages in thread
* [Comm] Непонятное что-то с ssh клиентом 2024-06-04 22:14 ` Alexei V. Mezin @ 2024-06-10 22:03 ` Alexei V. Mezin 2024-06-11 20:16 ` Alexei V. Mezin 0 siblings, 1 reply; 4+ messages in thread From: Alexei V. Mezin @ 2024-06-10 22:03 UTC (permalink / raw) To: community Продолжаю попытки запустить 2FA, на основе google authenticator или oath. Ничего не помогает :( pamtester sshd USERNAME authenticate работает отлично, спрашивает пароль, затем код. То есть PAM работает ровно так, как ожидается. Значит виноват ssh! Обнаружил вот такое: имеется сервер с p10, в /etc/pam.d/sshd включен вызов google authenticator. При попытке зайти по ssh на этот хост с машины с p10 все получается. Если попытаться зайти с машины с p11, то залогиниться невозможною! Как так? Почему от версии клиента зависит возможность входа?!! Вот что в логах клиента: с работающей машины debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: publickey,password,keyboard-interactive debug1: Next authentication method: publickey debug1: Trying private key: /home/alexei/.ssh/id_ed25519 debug1: Trying private key: /home/alexei/.ssh/id_rsa debug1: Trying private key: /home/alexei/.ssh/id_ecdsa debug1: Trying private key: /home/alexei/.ssh/id_dsa debug1: Trying private key: /home/alexei/.ssh/id_xmss debug2: we did not send a packet, disable method debug1: Next authentication method: keyboard-interactive debug2: userauth_kbdint debug2: we sent a keyboard-interactive packet, wait for reply debug2: input_userauth_info_req debug2: input_userauth_info_req: num_prompts 1 Password: debug2: input_userauth_info_req debug2: input_userauth_info_req: num_prompts 1 Verification code: 423918 debug2: input_userauth_info_req debug2: input_userauth_info_req: num_prompts 0 debug1: Authentication succeeded (keyboard-interactive). Authenticated to 192.168.200.254 ([192.168.200.254]:2022). а вот с неработающей debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: publickey,password,keyboard-interactive debug1: Next authentication method: publickey debug1: Will attempt key: /home/builder/.ssh/id_ed25519 debug1: Will attempt key: /home/builder/.ssh/id_ed25519_sk debug1: Will attempt key: /home/builder/.ssh/id_rsa RSA SHA256:rY52T/bfdmkk3Rs7re8vC1S41STJn437VocwteGAms4 debug1: Will attempt key: /home/builder/.ssh/id_ecdsa debug1: Will attempt key: /home/builder/.ssh/id_ecdsa_sk debug1: Will attempt key: /home/builder/.ssh/id_dsa debug1: Will attempt key: /home/builder/.ssh/id_xmss debug2: pubkey_prepare: done debug1: Trying private key: /home/builder/.ssh/id_ed25519 debug1: Trying private key: /home/builder/.ssh/id_ed25519_sk debug1: Offering public key: /home/builder/.ssh/id_rsa RSA SHA256:rY52T/bfdmkk3Rs7re8vC1S41STJn437VocwteGAms4 debug2: we sent a publickey packet, wait for reply debug1: Authentications that can continue: publickey,password,keyboard-interactive debug1: Trying private key: /home/builder/.ssh/id_ecdsa debug1: Trying private key: /home/builder/.ssh/id_ecdsa_sk debug1: Trying private key: /home/builder/.ssh/id_dsa debug1: Trying private key: /home/builder/.ssh/id_xmss debug2: we did not send a packet, disable method debug1: Next authentication method: password alexei@192.168.200.254's password: debug2: we sent a password packet, wait for reply debug1: Authentications that can continue: publickey,password,keyboard-interactive ssh: Permission denied, please try again. То есть в обоих случаях перечислены одинаковые методы аутентификации publickey,password,keyboard-interactive И в обоих случаях сначала проверяется наличие ключа. Но ключа нет. А потом в работающем случае объявляется, что далее keyboard-interactive, и запрашивается пароль, затем проверочный код, и в итоге удачный вход в систему. А во втором случае переходит к password, выдается запрос на пароль, но даже при верном пароле аутентификации не происходит, и запрос на ввод кода не появляется. Хотя запрос допжен появляться всегда, даже при неправильном пароле. Различия в системах в версии клиента. ^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [Comm] Непонятное что-то с ssh клиентом 2024-06-10 22:03 ` [Comm] Непонятное что-то с ssh клиентом Alexei V. Mezin @ 2024-06-11 20:16 ` Alexei V. Mezin 0 siblings, 0 replies; 4+ messages in thread From: Alexei V. Mezin @ 2024-06-11 20:16 UTC (permalink / raw) To: community 11.06.2024 01:03, Alexei V. Mezin пишет: > И в обоих случаях сначала проверяется наличие ключа. Но ключа нет. А > потом в работающем случае объявляется, что далее keyboard-interactive Хм... для sshd что-то похожее сообщалось аж 3+ года назад https://bugzilla.altlinux.org/38977 Но сейчас я наблюдаю ситуация с клиентом, а не с сервером. То есть из p10 или из Centos9 я могу зайти на свой сервер (p11) по ssh, потому что клиент согласен на keyboard-interactive, а с Сизифа/p11 не могу, потому что клиент соглашается только на password. Или, если ему насильно указать, что единственный доступный метод это keyboard-interactive, то просто не начинает аутентификацию. Я что-то неправильно готовлю, или на пакет ssh нужно вешать блокирующий баг? ^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2024-06-11 20:16 UTC | newest] Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2024-06-04 10:20 [Comm] TOTP 2FA - кто-то использует? Алексей В. Мезин 2024-06-04 22:14 ` Alexei V. Mezin 2024-06-10 22:03 ` [Comm] Непонятное что-то с ssh клиентом Alexei V. Mezin 2024-06-11 20:16 ` Alexei V. Mezin
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git