Discussion :

[manticore]

Bonjour,

je rencontre quelques problèmes pour mettre en place un OTP sur ssh. Pour un debian sur arm.

Voila les logiciels que j'utilise :
- Openssh 6.0p1
- Openssl 0.9.8k
- PAM utilisé conjointement avec OTPW librairy.

D'après la documentation je dois mettre ma configuration dans le fichier :
/etc/pam.conf

ou dans le répertoire (de mémoire)

/etc/pam/

J'ai choisi la première option (est-ce que cela peut avoir une influence négative ? )

Et voici le contenu du fichier /etc/pam.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#
# The PAM configuration file for the `login' service
#
login   auth       requisite  pam_securetty.so
login   auth       required   pam_nologin.so
login   auth       sufficent  pam_unix.so
login   auth       required   pam_unix.so
login   auth       optional   pam_group.so
login   account    requisite  pam_time.so
login   account    required   pam_unix.so
login   password   required   pam_cracklib.so retry=3
login   password   required   pam_unix.so shadow md5 use_authtok
login   session    required   pam_unix.so
 
#
# The PAM configuration file for the `sshd' service
#
sshd    auth       required   pam_otpw.so
sshd    session    optional   pam_otpw.so

Et la configuration (les points qui d'après ce que j'ai trouvé sont important) de sshd dans /etc/sshd_config:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
ChallengeResponseAuthentication yes
PasswordAuthentication no
UsePrivilegeSeparation no
UsePAM yes

Quand j'essaye de me connecter via ssh, j'ai toujours le login standard, il ne prend pas en compte l'OTP...

Quelqu'un à déjà mis un tel système en place ?

Merci de votre aide.

[manticore]

J'ai refait une série de tests, et toujours pas de résultats, mais j'ai eu des comportements surprenant :

Lorsque je démarre /sbin/sshd, j'ai l'impression qu'il ne prend pas ma configuration en compte.

Par exemple si je change le port d'écoute en 25 à la place de 22, je ne peux pas joindre le port 25 via ssh et il me donne un avertissement comme quoi il y a eu trop d'essais de connexions infructueux. Par contre le port 22 est toujours accessible.

Par contre si j'ajoute une erreur dans la configuration, il ne veux pas s'exécuter donc il lit bien ma configuration mais ne la prend pas en compte.

Pam ou OTPW remplace-t-il la configuration par défaut de sshd ?

Merci

[frp31]

tu relances pas sshd comme ça tu le relance que le bin pas le chargement des params.
faut le faire dans l'init avec son script d'init.

après pour le reste je sais pas trop, mais pam ou autre ne remplace pas sshd ça sert juste de couche authentification

[manticore]

D'accord merci pour l'information. Pourtant si je relance sshd en lançant le binaire, il accède bien au fichier de configuration vu qu'il voit une erreur de syntaxe lorsqu'il y en a une.

[frp31]

D'accord merci pour l'information. Pourtant si je relance sshd en lançant le binaire, il accède bien au fichier de configuration vu qu'il voit une erreur de syntaxe lorsqu'il y en a une.

pas forcément, c'est pas parce qu'il check les syntaxes, qu'il recharge les variables etc...

[manticore]

Oui tu as raison, il faisait juste un check de syntaxe.

J'ai pu avancé un peu, et faire des tests supplémentaire grâce à strace.

Donc il charge bien ma configuration. J'ai mis la configuration minimum que l'on voit dans les tutoriaux :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
auth            required        pam_otpw.so
  session         optional        pam_otpw.so

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 ChallengeResponseAuthentication yes
PasswordAuthentication no
UsePrivilegeSeparation no
UsePAM yes

Maintenant il me donne le message (sans me demander d'authentification) :

Permission denied (publickey,keyboard-interactive).

J'ai ensuite enlever l'authentification par publickey dans sshd, afin d'avoir que le keyboard-interactive.

Est-ce correcte ? L’authentification via le pam-otpw.so doit-elle se faire par "keyboard-interactive" ?

Merci

p.s. On doit placer le fichier .otpw dans le home de l'user j'ai mis le mien dans /root/.otpw
Et je me connecte avec root@[IP].

EDIT :

Je trouve aussi une erreur dans le strace, apres le chargement de ma configuration, il essaye d'accéder à /dev/log mais n'y arrive pas.

Voici l'extrait :

stat64("/bin/bash", {st_mode=S_IFREG|0755, st_size=702896, ...}) = 0
[pid 635] stat64("/etc/pam.d", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
[pid 635] open("/etc/pam.d/sshd", O_RDONLY|O_LARGEFILE) = 4
[pid 635] fstat64(4, {st_mode=S_IFREG|0644, st_size=99, ...}) = 0
[pid 635] mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, 0
[pid 635] read(4, "ChallengeResponseAuthentication "..., 4096) = 99
[pid 635] gettimeofday({1345726846, 400988}, NULL) = 0
[pid 635] open("/etc/localtime", O_RDONLY) = 6
[pid 635] fstat64(6, {st_mode=S_IFREG|0644, st_size=1892, ...}) = 0
[pid 635] fstat64(6, {st_mode=S_IFREG|0644, st_size=1892, ...}) = 0
[pid 635] mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, 0
[pid 635] read(6, "TZif2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\4\0\0\0\4\0\0\0\2
[pid 635] _llseek(6, -28, [1864], SEEK_CUR) = 0
[pid 635] read(6, "\nCET-1CEST,M3.5.0,M10.5.0/3\n", 4096) = 28
[pid 635] close(6) = 0
[pid 635] munmap(0x4001e000, 4096) = 0
[pid 635] socket(PF_FILE, 0x80002 /* SOCK_??? */, 0) = 6
[pid 635] connect(6, {sa_family=AF_FILE, path="/dev/log"}, 110) = -1 ECONNREF)
[pid 635] close(6) = 0
[pid 635] gettimeofday({1345726846, 443436}, NULL) = 0
[pid 635] socket(PF_FILE, 0x80002 /* SOCK_??? */, 0) = 6
[pid 635] connect(6, {sa_family=AF_FILE, path="/dev/log"}, 110) = -1 ECONNREF)
[pid 635] close(6) = 0
[pid 635] gettimeofday({1345726846, 455977}, NULL) = 0
[pid 635] socket(PF_FILE, 0x80002 /* SOCK_??? */, 0) = 6
[pid 635] connect(6, {sa_family=AF_FILE, path="/dev/log"}, 110) = -1 ECONNREF)
[pid 635] close(6) = 0
[pid 635] gettimeofday({1345726846, 468582}, NULL) = 0
[pid 635] socket(PF_FILE, 0x80002 /* SOCK_??? */, 0) = 6
[pid 635] connect(6, {sa_family=AF_FILE, path="/dev/log"}, 110) = -1 ECONNREF)
[pid 635] close(6) = 0
[pid 635] gettimeofday({1345726846, 481394}, NULL) = 0
[pid 635] socket(PF_FILE, 0x80002 /* SOCK_??? */, 0) = 6
[pid 635] connect(6, {sa_family=AF_FILE, path="/dev/log"}, 110) = -1 ECONNREF)
[pid 635] close(6) = 0
[pid 635] gettimeofday({1345726846, 493878}, NULL) = 0
[pid 635] socket(PF_FILE, 0x80002 /* SOCK_??? */, 0) = 6
[pid 635] connect(6, {sa_family=AF_FILE, path="/dev/log"}, 110) = -1 ECONNREF)
[pid 635] close(6) = 0