PAM auth module androidos push login-hoz

 ( nagylzs | 2017. november 9., csütörtök - 7:32 )

Sziasztok!

Van néhány gép amire úgy kaptam a root jelszót valakitől, és nem szabad megváltoztatnom. Ezen felül az ssh root login le van tiltva, ezért csak úgy tudok bemenni root-ként, hogy először normál user-rel bejelentkezek, utána sudo-zok. Viszont a sudo mindig a titkos jelszót kéri, ami nagyon fárasztó. (Főleg úgy, hogy az a jelszó megjegyezhetetlen, és nem szabad megváltoztatnom.)

Arra gondoltam, hogy betöltök egy PAM modult, ami push login-ozni tud a telefonomra telepített app-pal. Olyan beállítás kellene, amivel továbbra is használható a sudo-ban a normál titkos jelszó, de lehetséges vele push login-ozni is. Van néhány fölösleges yubikey-em, esetleg ezzel is elfogadható alternatíva lenne, de ezek még elég régi verziók.

Amit néztem eddig az a "Duo Unix" nevű, de úgy láttam hogy ott csak fizetős verzióban elérhető ez a szolgáltatás.

Van itt valaki, akinek van más bevált módszere?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A google auth miert nem jo?

+1

valakit meg majd mindig felhívunk ott a távoli masina közelében, hogy legyen már kedves bedugni azt a nyamvadt pendrive-ot...
(amúgy pam_usb mint koncepció nem volt rossz, de a kivitelezés és az eredmény egy tragédia, csak bohóckodásra alkalmas)

--
"a Hungarian Unix Portált [...] szakmai fórumként eszembe nem jut használni, mert a közönség mentalitása miatt nincs értelme."

Lehet hogy butaságot írok, de nem értem. Ha bejelentkezel normál felhasználóval, utána 'sudo su' és csak egyszer kell beírni a titkos jelszót, nem? Vagy ezt az egyszeri beírást is meg akarnád spórolni?

Konkrétan olyan jelszót kell beírnom amit képtelen vagyok megjegyezni, és tilos megváltoztatnom. (Az első normál user-es bejelentkezésre privát kulcsot használok, az nem kér jelszót.)

sudo vim /etc/sudoers.d/nagylzs

Tartalma:


nagylzs ALL=(ALL:ALL) ALL
nagylzs ALL = NOPASSWD: ALL

Persze ha van sysemd. Nekem így működik és nem kér jelszót a sudo.

expect beírja helyetted.
____________________
echo crash > /dev/kmem

Jelszót nem írunk le plaintext fájlba. Persze lehet olyat csinálni, hogy encryptálod, és:

echo -e $(openssl aes-256-cbc -d -a -salt -in /nemtudommegjegyeznirootpwtitkositva.pw) | expect ... 

Ezzel nem sérül a fenti követelmény. Viszont ezzel a root jelszó védelme annyi lesz a gyakorlatban, amennyit az általad adott titkoító jelszó tud...

Shell variable, nem plain text file. Persze ez se secure, de ugyanazt a jelszot hasznalni tobb embernek, es azt naponta sokszor vagolapon at copy-pastelni, az se secure.

Senki sem szeret sokszor jelszavakat begepelgetni vagy copy-pastelni. Akkor se ha ssh pass, akkor se ha openssl pass. Akkor mar inkabb egy restricted user neveben inditott terminal, shell var-ba a pass es azt hasznalni az ilyen ssh muveletekre.
____________________
echo crash > /dev/kmem

Ez egy parancs stdout-ját echo-val küldi bele az expect vagy épp a sudo inputjába. Aki jelszót shell változóba rak, az...Mondjuk úgy, hogy kinkább kapát, mint billentyűzetet használjon...

> Ez egy parancs stdout-ját echo-val küldi bele az expect vagy épp a sudo inputjába.
Igen, latom. Es?

> Aki jelszót shell változóba rak, az...Mondjuk úgy, hogy kinkább kapát, mint billentyűzetet használjon...
Hasznaljon kapat az aki rakenyszeriti a sysadmin-t hogy munka helyett megjegyezhetetlen jelszavakat potyogjon, meg 3rd party password manager-bol copy-pastelgessen napi nx100 alkalommal.

Illetve hasznaljon kapat az aki egy mai, egyfelhasznalos, up2date desktop Linux-ot ugy hasznal hogy egy restricted user neveben futo shell alatti shell variable-bol mas ki tudja olvasni a tartalmat.

imho :)
___________________
echo crash > /dev/kmem

A pam_pwdfile.so a te baratod:

/etc/pam.d/sudo-ba:

# nagylzs may use a different password
# (allowed encryption types: DES, MD5, SHA-256, SHA-512)
auth            sufficient                      pam_pwdfile.so pwdfile=/etc/shadow.nagylzs

# Standard Unix authentication
auth            required                        pam_unix.so nullok_secure use_first_pass

# @include common-auth

Beallitod magadnak az alternativ jelszot:

# echo "nagylzs:$(openssl passwd -1 egyszerujelszo)" > /etc/shadow.nagylzs
# chown --ref /etc/shadow /etc/shadow.nagylzs
# chmod --ref /etc/shadow /etc/shadow.nagylzs

Ezutan a nagylzs juzerhez sudo-nal ket jelszavad lesz: az eredeti, es "egyszerujelszo".

Hirtelen nem talaltam meg, hogy az openssl-lel hogy lehetne SHA-512-es kodolasu jelszot generalni, en irtam magamnak egy programot erre a celra:

# echo "nagylzs:$(encrypt-passwd --sha512 egyszerujelszo)"
nagylzs:$6$YLqS2O8KEYySB4P0$H82.JCcD2cXmxKfPsQ.bzTC7kQtuXkdfPgd.l.5bA8Z8Dzkvl4mN0rBipx/ZG/bCxaQFkwYEqpzNDwq4lIPYi.

Ez szuper, kipróbálom! :-)

Nem lehet hogy igazából egy jó pw mannagert keresel?

Nem hiszem. Erre a gépre be akarok jelentkezni telefonról és tabletről (vxconnect), Windows alól (putty/mputty) és Linux alól is. Nem tudok olyan pwd manager-ről ami ezeket egyben kezelné. :-(

keepassx

Nem ismertem ezt a keepassx-et. Ez hogyan tudná nekem kitölteni a jelszót? Valamilyen billentyűzet kombinációval? Ugye nem a vágólapon át?

Igen, billentyű kombinációt állítasz be, és nem, nem vágólapon.

Én úgy olvasom, hogy a vágólapot használja, de nem kell félni by default 10 mp-ig(állítható) marad a vágólapon az adatod, utána kitörli.

Egyébként a Duo jó cucc.

Akárhogy nézem, nem találom a vágólapon!

most gyorsan megnéztem osx-en, flycopy-val látom azt amit keepassx-el másolok.

Én csak Linux-szal használom, ott semmi, xclip nem mutatja, se az xfce clipman.

ez mindent megmagyaráz :D
akkor ez erősen OS függő, gondolom linuxon az autocomplete is működik.

Hat en nem tudom, mert nekem mukodik. Ramegyek a listaban arra ami kell, majd ctrl+c es bekerul a vagolapra. Benyomom 10 masodpercen belul barhova (akar terminal akar barmi mas). Az ido tullepese utan mar nem tudom megtenni.

Ubuntu 16.04.3 LTS, openbox

Igen, de a ctrl-c direkt arra van, hogy a vágólapra másolja a jelszót (a ctrl-b a felhasználónevet).
Viszont, ha rámész a listában és a ctrl-v nyomod le, akkor egy automatikus begépelést csinál, alapértelmezetten (ez group-onként, entry-nként felűlírható) beírja a felhasználónevet, nyom egy tab-ot, beírja a jelszót. Itt az a kérdés, hogy ezt, tehát az automatikus begépelést vágólapon keresztül csinálja-e meg.

hat ize ez engem nem nagyon erdekel, mivel ugyis csak tiz masodpercig lesz a vagolapon, ha ez a felelem targya. Vagy nem ertem.

Most az a jo ha azon keresztul vagy ha nem?

Pontosan a keepass-ra és dropbox, gdrivre gondoltam, bár ha nem változik... kivéve mac-re, mert ott nincs autocomplete :(

Alljunk meg egy szora. En vagyok rosszul osszerakva valoszinuleg, de a sudo _soha_ nem kerte tolem a root jelszavat hanem mindig a sajat felhasznalomet.

Ebben igazad van. A root jelszót nem tudom hogy mi, soha nem is tudtam. A "saját" userem meg van osztva több ember között. Ez egy szolgáltatáshoz tartozó user, nem egy személyhez, és több opadmin használja. Nem változtathatom meg a jelszavát. (Elírtam a kérdést, bocsi)

(Akkor sose használtál Zsuzsilinuxot. Ott ez a beállítás az alap. "man sudoers" search for rootpw)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Így van, le is döbbentem mikor először láttam SLES-en.
____________________
echo crash > /dev/kmem

Tenyleg nem hasznaltam, nem szeretem a Zsuzsit :D