Otpw ermöglicht die Nutzung und Generierung von Passwortlisten. Dieses System ist ähnlich der TAN-Liste beim Onlinebanking. Die Integration erfolgt als PAM Modul und es kann somit für SSH und vielen anderen Logins benutzt werden.
Für einen Login reicht das Passwort alleine nicht aus. Man muss noch einen Prefix vor dem Passwort eingeben. Dieser wird mit dem Anlegen der Liste festgelegt und beim Login vor das eigentliche Passwort eingegeben. Nur mit der Passwortliste kommt man nicht weit.
Die Liste ist im jeweiligen Home des Benutzers, als RIPEMD-160 Hash gespeichert. Verbrauchte Passwörter werden mit Bindestrichen überschrieben und können nicht wiederholt verwendet werden.
Konfiguration des SSH PAM Modul damit die neue Authentifizierung benutzt wird:
/etc/pam.d/ssh
auth required pam_env.so envfile=/etc/default/locale
auth required pam_otpw.so
session optional pam_otpw.so
Der SSH Server muss PAM benutzen.
/etc/ssh/sshd_config
UsePAM yes
Nach einem SSH Neustart werden die neuen Passwörter generiert. Dafür gibt es den Generator “otpw-gen”, der die Passwortliste erstellt und für den eingeloggten User im Home ablegt.
Der Output sollte direkt ausgedruckt und sicher aufbewahrt werden.
Beim nächsten Login befindet sich im Passwortprompt eine Zahl, dieses Passwort muss für den Login verwendet werden.
WICHTIG:
1. Vor dem Passwort muss der Prefix eingegeben werden.
2. Ist bereits eine SSH Session aufgebaut und man möchte eine weitere Verbindung aufbauen, muss man 3 Passwörter eingeben.
Recent Comments