PAM auth module androidos push login-hoz

Linux-security

Sziasztok!

Van néhány gép amire úgy kaptam a root jelszót valakitől, és nem szabad megváltoztatnom. Ezen felül az ssh root login le van tiltva, ezért csak úgy tudok bemenni root-ként, hogy először normál user-rel bejelentkezek, utána sudo-zok. Viszont a sudo mindig a titkos jelszót kéri, ami nagyon fárasztó. (Főleg úgy, hogy az a jelszó megjegyezhetetlen, és nem szabad megváltoztatnom.)

Arra gondoltam, hogy betöltök egy PAM modult, ami push login-ozni tud a telefonomra telepített app-pal. Olyan beállítás kellene, amivel továbbra is használható a sudo-ban a normál titkos jelszó, de lehetséges vele push login-ozni is. Van néhány fölösleges yubikey-em, esetleg ezzel is elfogadható alternatíva lenne, de ezek még elég régi verziók.

Amit néztem eddig az a "Duo Unix" nevű, de úgy láttam hogy ott csak fizetős verzióban elérhető ez a szolgáltatás.

Van itt valaki, akinek van más bevált módszere?

valakit meg majd mindig felhívunk ott a távoli masina közelében, hogy legyen már kedves bedugni azt a nyamvadt pendrive-ot...
(amúgy pam_usb mint koncepció nem volt rossz, de a kivitelezés és az eredmény egy tragédia, csak bohóckodásra alkalmas)

--
"a Hungarian Unix Portált [...] szakmai fórumként eszembe nem jut használni, mert a közönség mentalitása miatt nincs értelme."

( Jo_OKerR | 2017. 11. 09., cs – 09:23 )

Lehet hogy butaságot írok, de nem értem. Ha bejelentkezel normál felhasználóval, utána 'sudo su' és csak egyszer kell beírni a titkos jelszót, nem? Vagy ezt az egyszeri beírást is meg akarnád spórolni?

Jelszót nem írunk le plaintext fájlba. Persze lehet olyat csinálni, hogy encryptálod, és: 


echo -e $(openssl aes-256-cbc -d -a -salt -in /nemtudommegjegyeznirootpwtitkositva.pw) | expect ...

Ezzel nem sérül a fenti követelmény. Viszont ezzel a root jelszó védelme annyi lesz a gyakorlatban, amennyit az általad adott titkoító jelszó tud...

Shell variable, nem plain text file. Persze ez se secure, de ugyanazt a jelszot hasznalni tobb embernek, es azt naponta sokszor vagolapon at copy-pastelni, az se secure.

Senki sem szeret sokszor jelszavakat begepelgetni vagy copy-pastelni. Akkor se ha ssh pass, akkor se ha openssl pass. Akkor mar inkabb egy restricted user neveben inditott terminal, shell var-ba a pass es azt hasznalni az ilyen ssh muveletekre.
____________________
echo crash > /dev/kmem

> Ez egy parancs stdout-ját echo-val küldi bele az expect vagy épp a sudo inputjába.
Igen, latom. Es?

> Aki jelszót shell változóba rak, az...Mondjuk úgy, hogy kinkább kapát, mint billentyűzetet használjon...
Hasznaljon kapat az aki rakenyszeriti a sysadmin-t hogy munka helyett megjegyezhetetlen jelszavakat potyogjon, meg 3rd party password manager-bol copy-pastelgessen napi nx100 alkalommal.

Illetve hasznaljon kapat az aki egy mai, egyfelhasznalos, up2date desktop Linux-ot ugy hasznal hogy egy restricted user neveben futo shell alatti shell variable-bol mas ki tudja olvasni a tartalmat.

imho :)
___________________
echo crash > /dev/kmem

( muszi v | 2017. 11. 09., cs – 11:22 )

A 

pam_pwdfile.so

a te baratod: 

/etc/pam.d/sudo

-ba: 

# nagylzs may use a different password
# (allowed encryption types: DES, MD5, SHA-256, SHA-512)
auth            sufficient                      pam_pwdfile.so pwdfile=/etc/shadow.nagylzs

# Standard Unix authentication
auth            required                        pam_unix.so nullok_secure use_first_pass

# @include common-auth

Beallitod magadnak az alternativ jelszot: 

# echo "nagylzs:$(openssl passwd -1 egyszerujelszo)" > /etc/shadow.nagylzs
# chown --ref /etc/shadow /etc/shadow.nagylzs
# chmod --ref /etc/shadow /etc/shadow.nagylzs

Ezutan a nagylzs juzerhez sudo-nal ket jelszavad lesz: az eredeti, es "egyszerujelszo".

Hirtelen nem talaltam meg, hogy az openssl-lel hogy lehetne SHA-512-es kodolasu jelszot generalni, en irtam magamnak egy programot erre a celra: 

# echo "nagylzs:$(encrypt-passwd --sha512 egyszerujelszo)"
nagylzs:$6$YLqS2O8KEYySB4P0$H82.JCcD2cXmxKfPsQ.bzTC7kQtuXkdfPgd.l.5bA8Z8Dzkvl4mN0rBipx/ZG/bCxaQFkwYEqpzNDwq4lIPYi.

( kallo | 2017. 11. 09., cs – 11:36 )

Nem lehet hogy igazából egy jó pw mannagert keresel?

Igen, de a ctrl-c direkt arra van, hogy a vágólapra másolja a jelszót (a ctrl-b a felhasználónevet).
Viszont, ha rámész a listában és a ctrl-v nyomod le, akkor egy automatikus begépelést csinál, alapértelmezetten (ez group-onként, entry-nként felűlírható) beírja a felhasználónevet, nyom egy tab-ot, beírja a jelszót. Itt az a kérdés, hogy ezt, tehát az automatikus begépelést vágólapon keresztül csinálja-e meg.

( Endruu | 2017. 11. 09., cs – 12:49 )

Alljunk meg egy szora. En vagyok rosszul osszerakva valoszinuleg, de a sudo _soha_ nem kerte tolem a root jelszavat hanem mindig a sajat felhasznalomet.

Ebben igazad van. A root jelszót nem tudom hogy mi, soha nem is tudtam. A "saját" userem meg van osztva több ember között. Ez egy szolgáltatáshoz tartozó user, nem egy személyhez, és több opadmin használja. Nem változtathatom meg a jelszavát. (Elírtam a kérdést, bocsi)