Wie richte ich die Zwei-Faktor-Authentifizierung mit OTP unter FreeBSD ein?

Ich habe einen von FreeBSD gehosteten Server, auf den ich gerne von überall aus zugreifen kann. Normalerweise verwende ich den öffentlichen SSH-Schlüssel, um mich anzumelden. Wenn mein privater SSH-Schlüssel nicht verfügbar ist, verwende ich möglicherweise ein reguläres Kennwort über SSH. Wenn Sie sich jedoch von einem nicht vertrauenswürdigen Computer aus anmelden, besteht immer das Risiko, dass ein Keylogger mein Kennwort während der Eingabe erfasst.

FreeBSD unterstützt bereits OPIE , ein Einmalkennwortschema. Dies funktioniert hervorragend, aber das Einmalkennwort ist die einzige erforderliche Authentifizierung. Wenn ich eine Liste mit Einmalkennwörtern ausdrucke, die später verwendet werden sollen, und wenn ich diese Liste verliere, ist das alles, was jemand braucht.

Ich möchte die Authentifizierung so einrichten, dass ich ein Einmalkennwort sowie etwas, das ich kenne , benötige (ein Kennwort, außer nicht mein übliches Anmeldekennwort). Ich habe das Gefühl, dass die Antwort etwas mit PAM (und /etc/pam.d/sshd) zu tun hat , bin mir aber bei den Details nicht sicher.

Wie kann ich die Authentifizierung einrichten, wenn zwei Methoden erforderlich sind?

Versuchen Sie es security/pam_pwdfilein der Ports- Struktur, da Sie ein anderes Kennwort als das für Ihr normales Konto verwenden möchten .
Grundsätzlich können Sie eine alternative Datei (Format :) username:crypted_passwordzur Authentifizierung verwenden.
Um es zu verwenden, setzen Sie die folgende Zeile /etc/pam.d/sshd direkt vor die Zeile für pam_opie:

auth    required    /usr/local/lib/pam_pwdfile.so    pwdfile    /path/to/pwd/file

Duo Security (unser Unternehmen) bietet ein Open-Source-Paket an , das OTP, Telefonrückruf, SMS und Smartphone-Push-Authentifizierung für SSH mit Passwörtern, Pubkey oder einem beliebigen primären Authentifizierungsmechanismus unterstützt - mit oder ohne PAM:

http://blog.duosecurity.com/2011/04/announcing-duos-two-factor-authentication-for-unix/

Angenommen, dies verwendet pam, sollte es so einfach sein, zwei erforderliche Module in /etc/pam.d/ einzufügen. Eine für Opie und eine für Ihre andere Authentifizierung. (sagen wir, normales UNIX-Passwort)

Erwägen Sie die Verwendung eines Pam-Radius. Es sollte auf BSD kompiliert werden. Alle unternehmensfähigen Zwei-Faktor-Authentifizierungssysteme unterstützen den Radius. Der Radius ist ein Standard, sodass Sie eine große Flexibilität erhalten.

HTH.