[RISOLTO] SSH: Valorizzazione parametro AuthenticationMethod

La rete, Internet, configurazione di Servizi e tutto ciò che permette la comunicazione tra macchine

[RISOLTO] SSH: Valorizzazione parametro AuthenticationMethod

Messaggioda danjde » 29/07/2020, 10:35

Salve Amici,
sto implementando su alcune VPS "SSH+OATH" e fin'ora tutto bene, fino al momento almeno in cui ho tentato di configurarlo su una macchina Debian 10 buster con openssh-server 1:7.9p1-10+deb10u2.

Infatti un parametro fondamentale è il "keyboard-interactive" in "AuthenticationMethods" di /etc/ssh/sshd_config.
Aggiungendolo infatti, il servizio sshd non si riavvia e va in fallimento.

Si tratta credo di un bug, visto che nella manpage ne è previsto l'uso (e su altre Debian meno recenti funziona) -> https://manpages.debian.org/jessie/open ... .5.en.html

Ho provato senza successo questo suggerimento: https://superuser.com/questions/337694/ ... entication

Ed ho letto di Ansible e SSH con lo stesso problema: https://github.com/ansible/ansible/issues/16259

Avete idee su come aggirare l'ostacolo? Segnalo il bug? È forse già segnalato? Posso installare una versione più recente o più datata del server ssh?

Grazie per il gentile aiuto che vorrete fornirmi!


Davide



publickey,password publickey,keyboard-interactive
Ultima modifica di danjde il 03/08/2020, 17:34, modificato 1 volta in totale.
cosmogoniA
n o p r o v a r e n o f a r e o n o n f a r e n o n c e p r o v a r e
Avatar utente
danjde
Jr. Member
Jr. Member
 
Messaggi: 81
Iscritto il: 06/09/2016, 11:59
Località: Verona

Re: SSH: Errore se "AuthenticationMethods keyboard-interacti

Messaggioda danjde » 29/07/2020, 10:41

Questo è il log, ma non mi pare dica molto di più:

Codice: Seleziona tutto
Jul 29 11:20:22 server3 systemd[1]: Stopping OpenBSD Secure Shell server...
Jul 29 11:20:22 server3 systemd[1]: ssh.service: Succeeded.
Jul 29 11:20:22 server3 systemd[1]: Stopped OpenBSD Secure Shell server.
Jul 29 11:20:22 server3 systemd[1]: Starting OpenBSD Secure Shell server...
Jul 29 11:20:22 server3 sshd[16300]: Disabled method "password" in AuthenticationMethods list "publickey,password"
Jul 29 11:20:22 server3 sshd[16300]: Disabled method "keyboard-interactive" in AuthenticationMethods list "publickey,keyboard-interactive:pam"
Jul 29 11:20:22 server3 sshd[16300]: AuthenticationMethods cannot be satisfied by enabled authentication methods
Jul 29 11:20:22 server3 systemd[1]: ssh.service: Control process exited, code=exited, status=255/EXCEPTION
Jul 29 11:20:22 server3 systemd[1]: ssh.service: Failed with result 'exit-code'.
Jul 29 11:20:22 server3 systemd[1]: Failed to start OpenBSD Secure Shell server.
Jul 29 11:20:23 server3 systemd[1]: ssh.service: Service RestartSec=100ms expired, scheduling restart.
cosmogoniA
n o p r o v a r e n o f a r e o n o n f a r e n o n c e p r o v a r e
Avatar utente
danjde
Jr. Member
Jr. Member
 
Messaggi: 81
Iscritto il: 06/09/2016, 11:59
Località: Verona

Re: SSH: Errore se "AuthenticationMethods keyboard-interacti

Messaggioda danjde » 29/07/2020, 16:02

Errore mio!
Avevo omesso di abilitare "ChallengeResponseAuthentication"

Codice: Seleziona tutto
ChallengeResponseAuthentication yes


Mi aveva distratto trovare un bug del 2012 dove si segnalava proprio questa anomalia, ma poi mi sembrava strano, che un bug così datato fosse ancora da risolvere, così ho ricontrollato.



Grazie!
cosmogoniA
n o p r o v a r e n o f a r e o n o n f a r e n o n c e p r o v a r e
Avatar utente
danjde
Jr. Member
Jr. Member
 
Messaggi: 81
Iscritto il: 06/09/2016, 11:59
Località: Verona

Re: SSH: Errore se "AuthenticationMethods keyboard-interacti

Messaggioda danjde » 29/07/2020, 18:27

Se a qualcuno può interessare e se è permesso dalle regole del forum, vi lascio la procedura, distinta in due forme, la prima più generale che non contempla la richiesta di chiave OATH in presenza di publickey, la seconda in successione che invece lo prevede.


ABILITARE CHIAVE PAM OATH TOTP 2FA


PREREQUISITO: INSTALLARE liboath0 libpam-oath oathtool


1) $ export HEX_SECRET=$(head -15 /dev/urandom | sha1sum | cut -b 1-30)


2) $ oathtool --verbose --totp $HEX_SECRET --digits=8

Risultato ->
Hex secret: 12345678901234566778990001234
Base32 secret: ABCDEFGAHILMNOPQRSTUVZ
Digits: 8
Window size: 0
Step size (seconds): 30
Start time: 1970-01-01 00:00:00 UTC (0)
Current time: 2020-07-26 15:03:57 UTC (1595775837)
Counter: 0x12345FG (123456789)

12345678

3) creare e securizzare "users.oath":

touch /etc/users.oath
chmod 0600 /etc/users.oath

4) aggiungere le seguenti righe (il codice è l'Hex secret) al "users.oath":

vi /etc/users.oath

# Option User Prefix Seed
HOTP/T30/6 user - 12345678901234566778990001234

5) Rimuovere la variabile "HEX_SECRET":

unset HEX_SECRET

6) Configurare le regole per gli accessi:

vi /etc/security/login_token.conf

# Do not require two-factor from here:
+ : myuser : 1.1.1.0/24

# lolnope don't need two-factor at all
+ : lolnope : ALL

# Demand two-factor from everywhere and everyone else
- : ALL : ALL


7) editare /etc/pam.d/sshd (per la versione con publickey andare al capitolo successivo "SENZA CHIEDERE LA PASSWORD, USANDO OAUTH + PUBLICKEY ")

# Exceptions from two-factor
auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/login_token.conf
# Two-factor
auth required pam_oath.so usersfile=/etc/users.oath


8) editare /etc/ssh/sshd_config e abilitare "ChallengeResponseAuthentication"

ChallengeResponseAuthentication yes

9) riavviare sshd

Rif:
https://wiki.archlinux.org/index.php/Pam_oath
https://dnns.no/two-factor-ssh-using-oa ... 18.04.html
https://spod.cx/blog/two-factor-ssh-aut ... ator.shtml
https://semjonov.de/post/2016-03/openssh-oath-totp/


SENZA CHIEDERE LA PASSWORD, USANDO OAUTH + PUBLICKEY

7) editare /etc/pam.d/sshd, commentare "@include common-auth" e aggiungere gli altri parametri come di seguito:

#@include common-auth

# Exceptions from two-factor
auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/login_token.conf

# Two-factor
auth requisite pam_oath.so usersfile=/etc/users.oath

# Exceptions from two-factor and publickey
auth required pam_sepermit.so

# Disallow non-root logins when /etc/nologin exists.
account required pam_nologin.so


8) editare /etc/ssh/sshd_config:

UsePAM yes
AuthenticationMethods publickey,keyboard-interactive #NOTA! commentando "keyboard-interactive" si disabilita accesso OATH
PasswordAuthentication no
ChallengeResponseAuthentication yes


9) Riavviare sshd


Rif:
https://www.digitalocean.com/community/ ... untu-16-04
https://www.insecure.ws/linux/openssh_o ... entication
https://www.insecure.ws/linux/openssh_oath.html
http://delyan.me/securing-ssh-with-totp/
https://serverfault.com/questions/59413 ... -subsystem



UTILIZZARE andOTP

A manina si va su "aggiungi dettagli", nel campo "Etichetta" inserire il nome a vostro piacere della chiave, in "chiave segreta" inserire il "Base32 secret"

FINE
cosmogoniA
n o p r o v a r e n o f a r e o n o n f a r e n o n c e p r o v a r e
Avatar utente
danjde
Jr. Member
Jr. Member
 
Messaggi: 81
Iscritto il: 06/09/2016, 11:59
Località: Verona

Re: SSH: Errore se "AuthenticationMethods keyboard-interacti

Messaggioda Aki » 29/07/2020, 19:50

Grazie per l'accuratissima descrizione.
Aki
Global Moderator
Global Moderator
 
Messaggi: 9488
Iscritto il: 27/12/2007, 16:59


Torna a Network

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

cron