tail -f | sysadmin » PAM http://www.tail-f.com.ar Noticias y recursos para sysadmins Unix Sat, 04 Sep 2010 20:43:49 +0000 en hourly 1 http://wordpress.org/?v=3.0 Autenticación PAM mediante USB http://www.tail-f.com.ar/servicios/pam/autenticacion-pam-mediante-usb.html http://www.tail-f.com.ar/servicios/pam/autenticacion-pam-mediante-usb.html#comments Sun, 25 Jan 2009 23:55:20 +0000 elbarto http://www.tail-f.com.ar/?p=210 Autenticación USB

Autenticación USB

Aprovecho para reproducir un aporte de House of Sysadmins.

En este articulo veremos una forma de augmentar la seguridad de los servidores solo permitiendo autenticar root mediante un lápiz usb.

  • Una maquina con linux
  • Librerías pam usb
  • Lápiz USB

Instalando PAM USB

# apt-get  install libpam-usb

Instalando las PAM USB Tools

# apt-get  install pamusb-tools

Añadiendo nuestro lápiz como Token de autenticación

Primero de todo tendremos de pinchar el pendrive en el puerto usb y ejecutar:

#  pamusb-conf —add-device MyToken

Donde MyToken es un nombre identificativo para el pendrive puede ser cualquier otro

Añadiendo Usuarios a PAM USB

Podemos añadir fácilmente usuarios en este ejemplo añadiremos el usuario root como usuario autenticado de PAM USB

# pamusb-conf —add-user root

Probando si funciona la autenticación

Si tenemos el Pendrive Conectado y ejecutamos

# pamusb-check root

* Authentication request for user «root» (pamusb-check)
* Device “MyToken” is connected (good).
* Performing one time pad verification…
*
                Access granted.

Veremos que al final aparece Acces Granted

Si sacamos el pendrive veremos que al ejecutar lo anterior nos devuelve

Access denied.

PAM USB como sistema de autenticación

Editaremos el fichero /etc/pam.d/common-auth y añadiremos la siguiente linea al principio del mismo:

auth sufficient pam_usb.so

En este momento podriamos iniciar una sesión gdm sin necesidad de introducir password , simplemente conectando la llave usb.
Otras opciones interesantes es que permite la ejecucion de comandos al conectar el lápiz , podriamos por lo tanto crear un sistema para hacer copias automáticas de seguridad al conectar la llave usb.

La autenticación se puede realizar con cualquier llave usb al realizar estos pasos no se modifica en ningun momento el contenido de los datos del usb , si no que se extraen los datos que hace que cada dispositivo sea único.

  • Fabricante
  • Uuid
  • No de serie

Por lo tanto aunque realizáramos una copia bit a bit del dispositivo no podriamos crear otro dispositivo igual para autenticar.

Fuente: House Of Sysadmins Wiki

]]> http://www.tail-f.com.ar/servicios/pam/autenticacion-pam-mediante-usb.html/feed 4