Sada je: 22 lis 2019, 17:08.
Linux, poslužitelj, mreže i sigurnost

Moderator/ica: Moderatori/ce

Pozdrav,

Trebao bih pomoć sa jednom stvari koju si pokušavam namjestit,

Nabavio sam si jedan Fido u2f usb-ić koji se inače koristi za dvofaktorsku autentifikaciju,
postavio sam da tako radi kod logina na sam sustav, znači prvo traži password a onda traži fido kao dodatnu potvrdu
Primjer: http://seabre.github.io/blog/2015/10/17 ... 14-dot-04/

Ali ja želim napraviti da mi fido stick bude kao defaultni login na sustav, znači da ako imam stick uz sebe odma se mogu ulogirat unutra bez unosa pasworda,
ubiti hocu potpuno uklonit password kao login metodu.

Ima kakih ideja kako da ovo dobijem, nisam baš upoznat sa PAM sustavom i njegovom konfiguracijom



Hvala na pomoći
#!/bin/bash
coffee=0

while [ `date +%H%M` -lt 0800 ]; do

coffee=$((coffee + 1))

done
exit
Postovi: 855
Postovi: 855
Pridružen/a: 21 lip 2012, 20:36
Lokacija: /home/donji_miholjac -> /home/varazdin
Podijelio/la zahvalu: 14 puta
Primio/la zahvalu: 19 puta
Spol: M
OS: Debian 10 Buster / KDE
Mislim da bi bilo najjednostavnije samo "zaključati" userovu unix shadow šifru. Tako da ostane onaj drugi način autentifikacije pomoću stika.
Lock:
Kod: Označi sve
passwd -l imekorisnika  # Za Lock
passwd -u imekorisnika  # Za Unlock


To mislim zato što u onom pam config fajlu piše linija:
auth [success=1 default=ignore] pam_unix.so nullok_secure
koja je zahtjev za običnu linux šifru i tu piše default=ignore što mislim da znači "produži dalje ako nije dostupno".
Možda se varam.

Ili da probaš prebaciti onu tvoju zadnju liniju ispred ove za linux password koju zakomentiraš i staviti [succes=1 default=die] ili nešto tome nalik?

Još nešto. Ključevi su spremljeni u home u točkasti folder, i to vjerojatno s običnim korisničkim dozvolama, što je nesigurno.
Napravi backup toga.
Avatar
Postovi: 1893
Postovi: 1893
Pridružen/a: 16 tra 2011, 08:34
Lokacija: i grupa Film
Podijelio/la zahvalu: 45 puta
Primio/la zahvalu: 338 puta
Spol: M
OS: Mint 10 LXDE itd...
Tomislav001 je napisao/la:...Ali ja želim napraviti da mi fido stick bude kao defaultni login na sustav, znači da ako imam stick uz sebe odma se mogu ulogirat unutra bez unosa pasworda,
ubiti hocu potpuno uklonit password kao login metodu.

Koga želiš ubiti?! :sokiran :zvizdi :zamisljen

A sad ozbiljno; i mene zanima dal' je i kako izvedivo ovo s USB stikom ili čak s nekakvom karticom, slično kao što firme imaju za unlock vrata ili slično.

Vjerujem da budućnost nosi login putem mrežnice oka u kombinaciji s otiskom prsta koje bi automatski očitalo prilikom dodira miša/touchpada ili sličnog te na takav način će izbaciti potrebu pamćenja lozinki. Dakle, možemo očekivati još gluplju naciju. Tko je meni kriv što imam/pamtim preko 30 lozinki, što svojih, što poslovnih, što "posuđenih". :zamisljen :hmm
Arch Linux Install Script
Hash Checker
Vl@do je napisao/la:Arch imaš upravo zato da uštediš na vremenu. Nemaš nikakvih problema s instalacijama, kompajliranjem i ostalim. Imaš jednostavno funkcionalan i stabilan, uvijek najsvježiji OS, a osim toga je sexy i cool do neba.

I've seen some idiots back in my days but you man... you're special!
Avatar
Moderator
Postovi: 6227
Moderator
Postovi: 6227
Pridružen/a: 13 stu 2010, 21:12
Lokacija: /hrvatska/split/.../9/7
Podijelio/la zahvalu: 266 puta
Primio/la zahvalu: 323 puta
Spol: M
OS: Arch MATE/Xfce
jurastublic je napisao/la:Mislim da bi bilo najjednostavnije samo "zaključati" userovu unix shadow šifru. Tako da ostane onaj drugi način autentifikacije pomoću stika.
Lock:
Kod: Označi sve
passwd -l imekorisnika  # Za Lock
passwd -u imekorisnika  # Za Unlock





Da a pazi sad ovaj scenariji, U2F key imam samo na svojem useru. znaci ako si zalockam password neću se moć ulogirat ni kod sebe ni kod root-a, Nije mi baš to u cilju,
Mada uvjek mogu koristit sufficient flag za U2F dok testiram

Još nešto. Ključevi su spremljeni u home u točkasti folder, i to vjerojatno s običnim korisničkim dozvolama, što je nesigurno.
Napravi backup toga.



chmod-ano je na 700 tako da samo moj user to vidi
backup imam
#!/bin/bash
coffee=0

while [ `date +%H%M` -lt 0800 ]; do

coffee=$((coffee + 1))

done
exit
Postovi: 855
Postovi: 855
Pridružen/a: 21 lip 2012, 20:36
Lokacija: /home/donji_miholjac -> /home/varazdin
Podijelio/la zahvalu: 14 puta
Primio/la zahvalu: 19 puta
Spol: M
OS: Debian 10 Buster / KDE
Cooleech je napisao/la:
Tomislav001 je napisao/la:...Ali ja želim napraviti da mi fido stick bude kao defaultni login na sustav, znači da ako imam stick uz sebe odma se mogu ulogirat unutra bez unosa pasworda,
ubiti hocu potpuno uklonit password kao login metodu.

Koga želiš ubiti?! :sokiran :zvizdi :zamisljen

A sad ozbiljno; i mene zanima dal' je i kako izvedivo ovo s USB stikom ili čak s nekakvom karticom, slično kao što firme imaju za unlock vrata ili slično.

Vjerujem da budućnost nosi login putem mrežnice oka u kombinaciji s otiskom prsta koje bi automatski očitalo prilikom dodira miša/touchpada ili sličnog te na takav način će izbaciti potrebu pamćenja lozinki. Dakle, možemo očekivati još gluplju naciju. Tko je meni kriv što imam/pamtim preko 30 lozinki, što svojih, što poslovnih, što "posuđenih". :zamisljen :hmm


e pa gle, to je svakako sigurnije od pamcenja passworda ako se mene pita. lako je brutreforceat password ili ga nać zapisano na papiriću, google docsima itd.
a malo je teže ukrast moj u2f usb, prvo ko prvo 99% ljudi ni nezna čemu služi taj mali usb-ić na mojim ključevima.
#!/bin/bash
coffee=0

while [ `date +%H%M` -lt 0800 ]; do

coffee=$((coffee + 1))

done
exit
Postovi: 855
Postovi: 855
Pridružen/a: 21 lip 2012, 20:36
Lokacija: /home/donji_miholjac -> /home/varazdin
Podijelio/la zahvalu: 14 puta
Primio/la zahvalu: 19 puta
Spol: M
OS: Debian 10 Buster / KDE
Tomislav001 je napisao/la:potpuno uklonit password kao login metodu.
e pa gle, to je svakako sigurnije od pamcenja passworda ako se mene pita. lako je brutreforceat password ili ga nać zapisano na papiriću, google docsima itd.
a malo je teže ukrast moj u2f usb, prvo ko prvo 99% ljudi ni nezna čemu služi taj mali usb-ić na mojim ključevima.

@Cooleech: Samo da odgovorim Cooleechu ako čita, posve ista stvar koju Tomo radi se može postići i s običnim usb stikom i pam-usb modulom. pomoću pam-a konfiguriraš stik (konfig složi šifru na stik - "one time pad", koji se stalno mijenja - praktički nerazjebivo), a ostalo posložiš kao Tomislav po volji.

@Tomislav: Ne zaboravi da ni 700 praktički ništa ne vrijedi ako je vlasnik korisnik koji može sam promijeniti dozvole. A trenutno korišteni korisnički folder je prvi na udaru.

Shvaćam da to što pokušavaš logiranjem pomoću u2f ima jednu dobru prednost, da imaš samo jedan uređaj za logiranje i na računalo i na udaljene internet račune. Ali računaj da su sve šifre bezvrijedne gdje postoji fizički pristup bez enkripcije diska. A u2f ne radi sa zašifriranim diskom.
BTW, ako je obična linux šifra dovoljno dugačka, nema nikakve šanse da je se bruteforce probije. I backup papirić se može sakriti isto kao i u2f stik. Ne kažem da je papirić bolji, nego da, ako već to radiš, ostaviš izbor jednoga ili drugoga (sufficient). Jer stikovi se izgube ili polome ili pokvare. Čak i firma koja ih pravi preporučuje imati dva takva. A papirić ne moraš stalno onda nositi sa sobom nego imati u sigurnoj pričuvi za nedajbože.
Avatar
Postovi: 1893
Postovi: 1893
Pridružen/a: 16 tra 2011, 08:34
Lokacija: i grupa Film
Podijelio/la zahvalu: 45 puta
Primio/la zahvalu: 338 puta
Spol: M
OS: Mint 10 LXDE itd...
Jedna kombinacija mi je pala napamet prije ove ideje,
znaci da ako imam FIDO da me pusti nutra bez traženja passworda, a ako ga nema da traži password
po mogućnosti 2 password-a za potvrdu identiteta
#!/bin/bash
coffee=0

while [ `date +%H%M` -lt 0800 ]; do

coffee=$((coffee + 1))

done
exit
Postovi: 855
Postovi: 855
Pridružen/a: 21 lip 2012, 20:36
Lokacija: /home/donji_miholjac -> /home/varazdin
Podijelio/la zahvalu: 14 puta
Primio/la zahvalu: 19 puta
Spol: M
OS: Debian 10 Buster / KDE
Tomislav001 je napisao/la:znaci da ako imam FIDO da me pusti nutra bez traženja passworda, a ako ga nema da traži password

Pa to radi "sufficient" oznaka, zar ne?
Avatar
Postovi: 1893
Postovi: 1893
Pridružen/a: 16 tra 2011, 08:34
Lokacija: i grupa Film
Podijelio/la zahvalu: 45 puta
Primio/la zahvalu: 338 puta
Spol: M
OS: Mint 10 LXDE itd...
jurastublic je napisao/la:
Tomislav001 je napisao/la:znaci da ako imam FIDO da me pusti nutra bez traženja passworda, a ako ga nema da traži password

Pa to radi "sufficient" oznaka, zar ne?


hmm, da točno, ali opet pita za password iako je fido ukopčan,
ne preskaće password
#!/bin/bash
coffee=0

while [ `date +%H%M` -lt 0800 ]; do

coffee=$((coffee + 1))

done
exit
Postovi: 855
Postovi: 855
Pridružen/a: 21 lip 2012, 20:36
Lokacija: /home/donji_miholjac -> /home/varazdin
Podijelio/la zahvalu: 14 puta
Primio/la zahvalu: 19 puta
Spol: M
OS: Debian 10 Buster / KDE
Tomislav001 je napisao/la:Pa to radi "sufficient" oznaka, zar ne?
hmm, da točno, ali opet pita za password iako je fido ukopčan,
ne preskaće password


Probaj staviti liniju u2f sa sufficient prije one za linux password (ona sa pam_unix.so) a ne na kraj.

Btw, ono što si napisao za lockanje da ostaneš bez root pristupa jedinog korisnika sa sudo, pa uvijek možeš osloboditi root, tako da ga imaš posebno uz normalnog korisnika. iako ti to možda ne treba ako ono prvo proradi.
Avatar
Postovi: 1893
Postovi: 1893
Pridružen/a: 16 tra 2011, 08:34
Lokacija: i grupa Film
Podijelio/la zahvalu: 45 puta
Primio/la zahvalu: 338 puta
Spol: M
OS: Mint 10 LXDE itd...

Na mreži
Trenutno korisnika/ca: / i 1 gost.