Re: [FUG-BR] SSH com chave e senha
Caríssimos Aqui vai o meu R$0,01: se o problema é restringir o acesso, a minha política de segurança é: 1) PermitRootLogin no (impede tentativas de loggar-se diretamente como root); 2) PasswordAuthentication no (mesmo que o atacante tenha a senha do usuário, ele precisa conhecer a passphrase; desnecessário dizer que uma passphrase diferente da senha deve ser gerada); 3) Jean Everson Martina wrote: Qual a diferença em termos de segurança da solução que você quer? Ao meu ver tem uma justificativa pra não ter a solução do jeito que você quer, simplesmente porque ela não adiciona nada em termos de segurança. Então se opta pela solução mais simples. Se o atacante copiar a senha da chave, é o mesmo que copiar a senha comum. Se o cara consegue copiar uma senha, o que impede ele de copiar a outra? E no final das contas o par de chaves vai ter que ser descartado de qq jeito porque o atacante teve acesso. Meus dois centavos, Jean On 8 Jun 2009, at 20:02, Enio Marconcini -:- www.Enio.Pro.Br -:- wrote: como foi explicado acima, eu já testei com sucesso a autenticação pela chave (ssh-keygen usando senha) só queria reforçar e ter que obrigatoriamente ter a chave e o nome de usuário/senha da autenticação convencional (/etc/passwd/shadow) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
Pegando carona no assunto, Alguém aqui usa algum dispositivo de biometria no FreeBSD? Aqui uso um upek reconhecido aqui como: ugen1.3: STMicroelectronics at usbus1 Bus /dev/usb Device /dev/ugen1.3: ID 0483:2016 SGS Thomson Microelectronics Fingerprint Reader Pela libfprint reconhece direitnho e consigo fazer autenticação pela PAM, mas só consegui via logins de console ou quando dou um su, por ssh por exemplo não consegui fazer funcionar ainda. abs, Vinicius - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
Qual a diferença em termos de segurança da solução que você quer? Ao meu ver tem uma justificativa pra não ter a solução do jeito que você quer, simplesmente porque ela não adiciona nada em termos de segurança. Então se opta pela solução mais simples. Se o atacante copiar a senha da chave, é o mesmo que copiar a senha comum. Se o cara consegue copiar uma senha, o que impede ele de copiar a outra? E no final das contas o par de chaves vai ter que ser descartado de qq jeito porque o atacante teve acesso. Meus dois centavos, Jean On 8 Jun 2009, at 20:02, Enio Marconcini -:- www.Enio.Pro.Br -:- wrote: como foi explicado acima, eu já testei com sucesso a autenticação pela chave (ssh-keygen usando senha) só queria reforçar e ter que obrigatoriamente ter a chave e o nome de usuário/senha da autenticação convencional (/etc/passwd/shadow) PGP.sig Description: This is a digitally signed message part - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
2009/6/10 Jean Everson Martina ever...@inf.ufsc.br: Qual a diferença em termos de segurança da solução que você quer? Ao meu ver tem uma justificativa pra não ter a solução do jeito que você quer, simplesmente porque ela não adiciona nada em termos de segurança. Então se opta pela solução mais simples. Se o atacante copiar a senha da chave, é o mesmo que copiar a senha comum. Se o cara consegue copiar uma senha, o que impede ele de copiar a outra? E no final das contas o par de chaves vai ter que ser descartado de qq jeito porque o atacante teve acesso. Meus dois centavos, Boa noite. Pelo que pude entender, mesmo que o carinha obtenha a chave ele não conseguiria autenticar no servidor porque não tem conhecimento da senha para a segunda autenticação (a não ser que tenha a chave mais a senha). Não acompanhei essa discussão, mas parece ser isso. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
exatamente, eu teria um ambiente onde o acesso ao shell seria forçado a dois métodos de autenticação, unicamente, seria necessário ter a chave e a senha de usuário é bem interessante isso, mas pelo menos nos meus testes isso não foi possível... configurei o SSHD para autenticar com chave, e deixei setado PasswordAuthenticate como YES se eu tiver a chave, basta informar o nome de usuário (sem senha) que o acesso ao shell é permitido mas se eu não tiver a senha, a autenticação convencional é feita, pedindo nome de usuário e senha a minha idéia é forçar dois métodos de autenticação, se passar nos dois (chave + user/senha) aí sim é fornecido o acesso ao shell. abraços Pelo que pude entender, mesmo que o carinha obtenha a chave ele não conseguiria autenticar no servidor porque não tem conhecimento da senha para a segunda autenticação (a não ser que tenha a chave mais a senha). Não acompanhei essa discussão, mas parece ser isso. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm Administrador de Redes e Professor Universitário Especialista em Redes de Computadores Análise de Sistemas e Banco de Dados Slackware Linux, OpenBSD e FreeBSD Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
2009/6/8 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com: mas acho que também não tem jeito, vou ter que escolher entre chave ou senha comum, Nesse caso sim, pois a chave é o meio de autenticação e é considerada suficiente. Pois você tem que possuir a chave e o passphrasse. Uma solução mais simples seria você criar uma conta com poucos privilégios e dai partir para um su/sudo que vai pedir uma segunda senha. Tudo isso pode ser feito de forma transparente para o usuário via shell script. Se esta pensando em uma solução mais robusta, pode considerar o uso de smartcards para autenticação via ssh. http://www.opensc-project.org/opensc/wiki/SecureShell - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
consegui aqui amigo, gerei as chaves e está autenticando somente com a chave, digito o usuário e já cai no shell, mas gostaria de reforçar e mesmo com a chave, pedir a senha do usuário tem jeito? 2009/6/5 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com: consegui aqui amigo, gerei as chaves e está autenticando somente com a chave, digito o usuário e já cai no shell, mas gostaria de reforçar e mesmo com a chave, pedir a senha do usuário tem jeito? -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm Administrador de Redes e Professor Universitário Especialista em Redes de Computadores Análise de Sistemas e Banco de Dados Slackware Linux, OpenBSD e FreeBSD Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm Administrador de Redes e Professor Universitário Especialista em Redes de Computadores Análise de Sistemas e Banco de Dados Slackware Linux, OpenBSD e FreeBSD Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
2009/6/5 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com: consegui aqui amigo, gerei as chaves e está autenticando somente com a chave, digito o usuário e já cai no shell, mas gostaria de reforçar e mesmo com a chave, pedir a senha do usuário tem jeito? Você tá querendo que o ssh utilize dois tipos de autenticação na mesma conexão, isso eu creio que não seja possível. O que ocorre normalmente é que a chave possui uma senha *dela*, e quando o cliente vai conectar essa senha é solicitada. Mas nada impede que o cliente, que é o dono da chave remova a senha, troque-a ou então use um ssh-agent pra guardar a senha durante um período. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
é exatamente o que eu preciso, forçar uma autenticação por senha normalmente, mas que tenha a chave, assim somente quem tiver a chave e a senha poderá se conectar 2009/6/8 Renato Botelho rbga...@gmail.com: 2009/6/5 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com: consegui aqui amigo, gerei as chaves e está autenticando somente com a chave, digito o usuário e já cai no shell, mas gostaria de reforçar e mesmo com a chave, pedir a senha do usuário tem jeito? Você tá querendo que o ssh utilize dois tipos de autenticação na mesma conexão, isso eu creio que não seja possível. O que ocorre normalmente é que a chave possui uma senha *dela*, e quando o cliente vai conectar essa senha é solicitada. Mas nada impede que o cliente, que é o dono da chave remova a senha, troque-a ou então use um ssh-agent pra guardar a senha durante um período. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm Administrador de Redes e Professor Universitário Especialista em Redes de Computadores Análise de Sistemas e Banco de Dados Slackware Linux, OpenBSD e FreeBSD Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
Em Mon, 8 Jun 2009 11:25:28 -0300 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: é exatamente o que eu preciso, forçar uma autenticação por senha normalmente, mas que tenha a chave, assim somente quem tiver a chave e a senha poderá se conectar tenho acompanhado mas (acho) não estou entendendo bem a trédi: quando vc usa o ssh-keygen, automáticamente êle solicita um password que vc pode ou não digitar. Digitando, essa senha (que não precisa ser a mesma utilizada normalmente pelo usuário) passa a ser solicitada quando do acesso ao remoto. Não sendo digitada (como APARENTEMENTE vc fez), não será solicitada senha e vc cai diretamente na shell. O que é que eu não estou entendendo, afinal? -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Homens convictos são prisioneiros Nietzsche - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
2009/6/8 irado furioso com tudo ir...@bsd.com.br: Em Mon, 8 Jun 2009 11:25:28 -0300 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: é exatamente o que eu preciso, forçar uma autenticação por senha normalmente, mas que tenha a chave, assim somente quem tiver a chave e a senha poderá se conectar tenho acompanhado mas (acho) não estou entendendo bem a trédi: quando vc usa o ssh-keygen, automáticamente êle solicita um password que vc pode ou não digitar. Digitando, essa senha (que não precisa ser a mesma utilizada normalmente pelo usuário) passa a ser solicitada quando do acesso ao remoto. Não sendo digitada (como APARENTEMENTE vc fez), não será solicitada senha e vc cai diretamente na shell. O que é que eu não estou entendendo, afinal? Irado, O que ele quer é que o cara use a chave (com ou sem senha) e que além da chave precise digitar a senha que fica lá no server. No caso que vc citou e que eu também citei, a senha fica na chave, ou seja, no lado do cliente. Eu sinceramente não acho que seja possível fazer o sshd exigir dois métodos de auth pra estabelecer uma conexão. -- Renato Botelho - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
é oq eu tenho pensando tbm como foi explicado acima, eu já testei com sucesso a autenticação pela chave (ssh-keygen usando senha) só queria reforçar e ter que obrigatoriamente ter a chave e o nome de usuário/senha da autenticação convencional (/etc/passwd/shadow) mas acho que também não tem jeito, vou ter que escolher entre chave ou senha comum, valeu amigos -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm Administrador de Redes e Professor Universitário Especialista em Redes de Computadores Análise de Sistemas e Banco de Dados Slackware Linux, OpenBSD e FreeBSD Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
consegui aqui amigo, gerei as chaves e está autenticando somente com a chave, digito o usuário e já cai no shell, mas gostaria de reforçar e mesmo com a chave, pedir a senha do usuário tem jeito? -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm Administrador de Redes e Professor Universitário Especialista em Redes de Computadores Análise de Sistemas e Banco de Dados Slackware Linux, OpenBSD e FreeBSD Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
fiz um tutorial pra isso da uma lida Configurando SSH pra utilizar somente chaves para autenticação http://biosystems.ath.cx:8080/wiki/doku.php?id=manuais:sshkeys 2009/6/3 irado furioso com tudo ir...@bsd.com.br: Em Wed, 3 Jun 2009 16:50:59 -0300 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: na net achei alguns tutoriais estranhos para Linux para autenticar somente com chave, mas eu tenho interesse em chave+senha será que alguém ja experimentou isso e tem alguma dica para me ajudar nem tanto estranho: vc deve criar a chave COM senha. Assim, vc troca as chaves, porém será solicitada senha também. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Preces nunca trazem nada... Elas podem trazer consolo para o esgotado, o fanático, o ignorante, o aborígene, e o preguiçoso - mas para o culto é o mesmo que pedir para o Papai Noel trazer algo para o Natal. W. C. Fields - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- - = - = - = - = - = - = - = - = - = - . Of course it runsWilliam David Armstrong |== Bio Systems Security Networking ' FreeBSD MSN / GT biosystems gmail . com http://biosystems.ath.cx:8080/ http://biosystems.broker.freenet6.net/ -- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] SSH com chave e senha
Boa tarde amigos, eis meu primeiro post aqui na lista pois bem sou um novato no mundo FreeBSD mas tenho me adaptado bem, e tenho gostado muito e já tenho em mente pro futuro ir migrando meus servers estou tentando fazer o seguinte: configurar meu servidor de teste com FreeBSD para só autenticar o usuário ssh (uso através do putty ou direto pelo ssh client) que esse usuário só seja autenticado caso tenha a chave e a senha... na net achei alguns tutoriais estranhos para Linux para autenticar somente com chave, mas eu tenho interesse em chave+senha será que alguém ja experimentou isso e tem alguma dica para me ajudar abraços -- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniorm Administrador de Redes e Professor Universitário Especialista em Redes de Computadores Análise de Sistemas e Banco de Dados Slackware Linux, OpenBSD e FreeBSD Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] SSH com chave e senha
Em Wed, 3 Jun 2009 16:50:59 -0300 Enio Marconcini -:- www.Enio.Pro.Br -:- eni...@gmail.com, conhecido consumidor de drogas (BigMac's com Coke) escreveu: na net achei alguns tutoriais estranhos para Linux para autenticar somente com chave, mas eu tenho interesse em chave+senha será que alguém ja experimentou isso e tem alguma dica para me ajudar nem tanto estranho: vc deve criar a chave COM senha. Assim, vc troca as chaves, porém será solicitada senha também. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Preces nunca trazem nada... Elas podem trazer consolo para o esgotado, o fanático, o ignorante, o aborígene, e o preguiçoso - mas para o culto é o mesmo que pedir para o Papai Noel trazer algo para o Natal. W. C. Fields - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
