Authentification par mail

Support Debian
#1

Bonjour,
Je suis propriétaire d’un serveur Debian 6.0 squeeze depuis quelques temps maintenant.
J’ai mis en place les moyens conventionnels pour sécuriser mon serveur mais il se pourrait que la paranoïa m’ait envahit :astonished:
En effet j’ai quelques fichier sensibles hébergés sur mon serveur et j’aimerais que celui-ci soit plus sûr.
J’ai donc pensé à un système d’authentification par mail lors d’une connexion SSH ou FTP avec un mot de passe généré et envoyé par mail qui débloquerait uniquement une session.
Le problème c’est que je ne suis pas capable de créer ce genre de protection ^^'
Je voulais donc savoir si ce système existe déjà ou si quelqu’un pourrait m’aider à le mettre en place :wink:
Merci d’avance :slightly_smiling:

#2

Plus généralement, il faudrait regarder du côté de l’authentification à deux facteurs
fr.wikipedia.org/wiki/Authentification_forte

(le sujet m’intéresse également mais je n’ai pas encore expérimenté)

#3

Avant de mettre en place ce genre d’authentification j’aurais déjà mis en place quelques autres plus conventionnelles comme :
– Authentification par clée RSA et en désactivant la possibilité par mot de passe
– Mise en place d’un “port-knocking”, qui ressemble fortement a ce que tu veux faire mais snas mail
– Dissimuler SSH derrière SSL avec SSLH par exemple

J’avoue que l’efficacité des solutions que je te propose sont classées par ordre décroissant, mais elles ont l’avantage de pouvoir être empilées :mrgreen:

Ce qui m’ennuie avec ton idée de mail, c’est que tu dépend d’un service tiers pour la récupération du mot de passe, donc si ce service est “sur écoute” ta sécurité vole en éclat :think:

Pour ce qui est du service FTP, le serveur SSH le fait aussi, donc pas 2 logiciels différents qui induirait une plus grande surface d’attaque possible.

#4

Je présume que la sécurité de base était sous-entendue? :stuck_out_tongue:

Sinon, une piste : packages.debian.org/fr/wheezy/libpam-otpw

#5

Comme Mimoza : jeu de clefs avec passprhase costaud
Pour FTP : sftp ==> tuto dans T&A.

#6

C’est vrai que le SSH avec fichier de clef c’est déjà mieux.

Pour les feignants (comme moi) qui n’aiment pas se balader avec leur fichiers de clé privée, ça peut être sympa d’explorer la piste OTP.

petit test rapide avec libpam-otpw, pour le fun, configuré pour SSH :
(faire la manip dans une machine virtuelle pour tester!)

apt-get install libpam-otpw w3m /usr/share/doc/libpam-otpw/otpw.html

ajouter les lignes

auth required pam_otpw.so session optional pam_otpw.so
puis

[code]PermitRootLogin no

ChallengeResponseAuthentication yes
[/code]
recharger sshd

puis en tant qu’utilisateur standard “moi”, générer les pass OTP

(imprimer la liste et la garder sur soi)

Maintenant l’ouverture d’une session SSH pour l’utilisateur “moi” demandera 2 mots de passe

(-v pour le debug)

#7

Ceci a l’air plus intéressant, une authentification à deux facteurs :

packages.debian.org/wheezy/libpam-barada

barada.sourceforge.net/

et il faut l’appli android (aargggh!) correspondante :

play.google.com/store/apps/deta … crypt.gort

EDIT : c’est facile à mettre en oeuvre et ça fonctionne :stuck_out_tongue:

#8

Un autre mécanisme : pamusb.org/

authentification automatique dès que l’on insère sa clé usb (ou aussi clé usb + mot de passe). Bien sûr il faut avoir un accès physique à la machine :stuck_out_tongue:

#9

Cela fait plaisir que voir que la communauté debian réponds vite et est imaginative :slightly_smiling:
Je vais essayer un peu tout ce que vous m’avez dit même si ça me paraît un peu confu, je ne suis pas (du tout ?) un pro sous debian, loin de là :slight_smile:
J’essaye ce soir quelques trucs et non je n’ai pas d’accès physique à la machine :wink: