Showing posts with label Security. Show all posts
Showing posts with label Security. Show all posts
Sunday, 14 August 2011
Wednesday, 27 April 2011
Как ограничить ssh пользователя, входящего в систему по сертификатам лишь заданным диапазоном IP?
Итак, у нас есть Linux пользователь, который входит в систему по ssh с использованием ключей - парольная аутентификация запрещена. Задача - как ограничить пользователю возможный диапазон IP, с которых он входит в систему.
Вариант 1.
Задать диапазон хостов, с которых может входить юзер можно посредством директивы AlloUsers в /etc/ssh/sshd_config.
Вот цитата из официальной документации (man sshd_config):
Но, очевидно, каждый раз дергать конфиги такого важного демона как ssh для изменения IP крайне неправильно.
Вариант 2.
Использовать поле options в файле authorized_keys: from "ip_addr".
Выглядеть это будет так:
Подробное описание из документации (man 8 sshd):
Вариант 1.
Задать диапазон хостов, с которых может входить юзер можно посредством директивы AlloUsers в /etc/ssh/sshd_config.
Вот цитата из официальной документации (man sshd_config):
AllowUsers This keyword can be followed by a list of user name patterns, separated by spaces. If specified, login is allowed only for user names that match one of the patterns. ‘*’ and ‘?’ can be used as wildcards in the patterns. Only user names are valid; a numerical user ID is not recognized. By default, login is allowed for all users. If the pattern takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular users from particular hosts.
Но, очевидно, каждый раз дергать конфиги такого важного демона как ssh для изменения IP крайне неправильно.
Вариант 2.
Использовать поле options в файле authorized_keys: from "ip_addr".
Выглядеть это будет так:
from "ip_addr" ssh-rsa AAAABтут_много_букв_которые_представляю_собой_ключ_в_base64== test@yandex.ru
Подробное описание из документации (man 8 sshd):
from="pattern-list"
Specifies that in addition to public key authentication, the canonical name of the remote host must be present in the comma-separated list of patterns (‘*’ and ‘?’ serve as wildcards). The list may also contain patterns negated by prefixing them with ‘!’; if the canonical host name matches a negated pattern, the key is not accepted. The purpose of this option is to optionally increase security: public key authentication by itself does not trust the network or name servers or anything (but the key); however, if somebody somehow steals the key, the key permits an intruder to log in from anywhere in the world. This additional option makes using a stolen key more difficult (name servers and/or routers would have to be compromised in addition to just the key).
Tuesday, 26 April 2011
Что такое двухфакторная аутентификация в двух словах?
Двухфакторная аутентификация
Аутентификация с использованием двух различных аутентифицирующих факторов.
Существуют три обобщенных аутентифицирующих фактора:
То, что Вы знаете, например пароль или PIN.
То, что Вы имеете, например, кредитная карта, аппаратный ключ или ключевой файл на флешке.
То, что Вы есть, например, отпечаток пальца, скан радужки или иная биометрия.
Распространенные реализации двухфакторной аутентификации используют "то, что Вы знаете" (пароль) как один из факторов, и либо "то, что вы имеете" (физическое устройство), либо "то, что Вы есть" (биометрия) в качестве второго фактора. Примером ДФА может служить банковская карта.
Использование двух факторов вместо одного обеспечивает более высокий уровень надежности аутентификации.
Взято без изменения с ресурса: http://www.pgpru.com/biblioteka/slovarj/dvuhfaktornajaautentifikacija
Аутентификация с использованием двух различных аутентифицирующих факторов.
Существуют три обобщенных аутентифицирующих фактора:
То, что Вы знаете, например пароль или PIN.
То, что Вы имеете, например, кредитная карта, аппаратный ключ или ключевой файл на флешке.
То, что Вы есть, например, отпечаток пальца, скан радужки или иная биометрия.
Распространенные реализации двухфакторной аутентификации используют "то, что Вы знаете" (пароль) как один из факторов, и либо "то, что вы имеете" (физическое устройство), либо "то, что Вы есть" (биометрия) в качестве второго фактора. Примером ДФА может служить банковская карта.
Использование двух факторов вместо одного обеспечивает более высокий уровень надежности аутентификации.
Взято без изменения с ресурса: http://www.pgpru.com/biblioteka/slovarj/dvuhfaktornajaautentifikacija
Monday, 25 April 2011
Логин на ssh по одноразовым паролям - ssh + WiKID
Вот такая вот очень умная штука: http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-secure-ssh-with-two-factor-authentication-from-wikid
Всем, кому нужно делегировать доступ к серверам посвящается :)
Всем, кому нужно делегировать доступ к серверам посвящается :)
Subscribe to:
Posts
(
Atom
)