Comment configurer l'authentification à deux facteurs avec OTP sur FreeBSD?

J'ai un serveur hébergé FreeBSD auquel j'aime pouvoir accéder de n'importe où. Normalement, j'utilise SSH publickey pour me connecter, ou si je n'ai pas ma clé privée SSH disponible, je pourrais utiliser un mot de passe normal sur SSH. Cependant, lorsque vous vous connectez à partir d'une machine non fiable, il y a toujours le risque qu'un enregistreur de frappe capture mon mot de passe lorsque je le tape.

FreeBSD prend déjà en charge OPIE qui est un schéma de mot de passe à usage unique. Cela fonctionne très bien, mais le mot de passe à usage unique est la seule authentification nécessaire. Si j'imprime une liste de mots de passe à usage unique à utiliser plus tard, alors si je perds cette liste, c'est tout ce dont quelqu'un a besoin.

Je voudrais configurer l'authentification afin d'avoir besoin d'un mot de passe à usage unique et de quelque chose que je connais (un mot de passe, sauf mon mot de passe de connexion habituel). J'ai le sentiment que la réponse a quelque chose à voir avec PAM (et /etc/pam.d/sshd) mais je ne suis pas certain des détails.

Comment configurer l'authentification lorsque deux méthodes sont requises?

Puisque vous souhaitez utiliser un mot de passe différent de celui de votre compte normal, essayez security/pam_pwdfiledans l'arborescence des ports.
Fondamentalement, il vous permet d'utiliser un autre fichier (format username:crypted_password:) pour vous authentifier.
Pour l'utiliser, mettez la ligne suivante /etc/pam.d/sshd juste avant la ligne pour pam_opie:

auth    required    /usr/local/lib/pam_pwdfile.so    pwdfile    /path/to/pwd/file

Duo Security (notre société) propose un package open source qui prend en charge l'authentification OTP, le rappel téléphonique, les SMS et les smartphones pour SSH avec mots de passe, clé de publication ou tout autre mécanisme d'authentification principal, avec ou sans PAM:

http://blog.duosecurity.com/2011/04/announcing-duos-two-factor-authentication-for-unix/

En supposant que cela utilise pam, cela devrait être aussi simple que de mettre deux modules requis dans /etc/pam.d/. Un pour Opie et un pour votre autre authentification. (par exemple, mot de passe UNIX normal)

Pensez à utiliser pam-radius. Il devrait compiler sur BSD. Tous les systèmes d'authentification à deux facteurs compatibles avec l'entreprise prennent en charge le rayon. Le rayon est un standard très standard, vous gagnerez ainsi une grande flexibilité.

HTH.