Šioje pamokoje pateiksime instrukcijas kaip pakankamai nesudėtingai sustiprinti serverio SSH prisijungimų saugumą naudojant OTPW Ubuntu OS aplinkoje.
OTPW (angl. one time password authentication) autentifikacijos metodas sustiprina serverio SSH prisijungimų saugumą kiekvieną kartą prisijungimo metu reikalaujant iš vartotojo skirtingo slaptažodžio. Panaudoti slaptažodžiai nebėra naudojami, taigi yra išvengiama ne tik brute force atakų pasekmių, bet ir galimai vartotojo kompiuteryje esančių keylogger programų.
1. Atnaujiname sistemą, bei įdiegiame reikalingus paketus:
apt-get update
apt-get install otpw-bin libpam-otpw
2. Redaguojame SSH autentifikacijos konfigūracinį failą:
nano /etc/pam.d/sshd
Viršutinėje konfigūracinio failo dalyje rasi "include common-auth" šią eilutę užkomentuojame (pradžioje nurodome # simbolį):
#@include common-auth
Po šia eilute pridedame šias dvi eilutes:
auth required pam_otpw.so
session optional pam_otpw.so
3. Konfigūruojame sshd tarnybą:
nano /etc/ssh/sshd_config
Šiame konfigūraciniame faile sutikriname, jog žemiau pateikti parametrai atitinka šias vertes:
PubkeyAuthentication yes
KbdInteractiveAuthentication yes
PasswordAuthentication no
UsePAM yes
Išsaugojus pakeitimus perkrauname sshd tarnybą:
service ssh restart
4. Pageidaujamam vartotojui sugeneruojame slaptažodžių sufiksų masyvą:
cd ~
otpw-gen > nothingtosee.txt
Įvykdžius šią komandą vartotojo namų kataloge bus sukurtas ~/.otpw failas, kurio turinyje saugomi užšifruoti slaptažodžių sufiksai.
Prieš generuojant slaptažodžius bus paprašyta įvesti pageidaujamą slaptažodžio prefiksą - šį slaptažodį būtinai įsiminkite.
Failo ~/.otpw turinio ištrauka:
OTPW1
280 3 12 8
253tFMngG2PNYhn
132Kua%SZ+esb6t
237yH7D2FMbQsyW
125rrXfBRwnF+A%
106gJxhJE4jkknj
04135:5:knWIB4:
232/d4kI:n57IcD
244RASe8ka63b8Z
057GmqfFe=pXQqu
Failo nothingtosee.txt turinyje bus pateikti neužšifruoti slaptažodžių sufiksai. Šį failą rekomenduojama laikyti tik lokaliame kompiuteryje, o ne serveryje.
Testavimas:
Jungiamės prie serverio:
Pateikiamas slaptažodžio prašantis langas:
Password 253:
Tuomet įvedame:
savo pasirinktą slaptažodžio prefiksą
iš karto po jo (be tarpų) – prašomą slaptažodžio sufiksą su numeriu 253
Sufiksą randame faile nothingtosee.txt, pavyzdžiui:
249 N4HY RsbH
250 +vAz fawn
251 O4/R ZrhM
252 c6kP jgUT
253 I=aA OKSz
254 aYzA :F64
255 3ezp ZpIq
256 ggIi TD2v
Jeigu prašoma slaptažodžio sufiksu tokiu principu:
Password 161/208/252:
Tai reiškia, kad reikia įvesti kelis slaptažodžių sufiksus, juos sujungiant vieną po kito, be jokių papildomų simbolių, iš karto po slaptažodžio prefikso.