Одноразовые пароли на вход по SSH

[mihmih]

Не поделится ли кто решением внедрения одноразовых паролей (подозреваю, что через PAM-модули) на Ubuntu для SSH-сессий?
Мне (да и другим наверное) это интересно для нескольких целей:

(Нажмите, чтобы показать/скрыть)

1. Приходится часто подключаться к своим серверам по ssh находясь так сказать на недоверенной территории - у клиента.
(Вернее через ssh-устанавливается туннель, а уж потом FTP и RDP)
 Соответственно "палить" свой пароль не хочется (а вдруг умка-сын директора фирмы кейлоггер поставил?)
Кстати, в  отличие от VPN-решений типа Kerio или OpenVPN SSH-туннель работает и в user-mode,
т.е. не надо ставить TUN или TAP -драйвер и прав локального администратора для проброса портов не требуется.

Можно было-бы настроить OPenSSH+Putty с использованием RSA-ключей,
НО, при подключении с "вражеского", т.е. недоверенного компьютера я не могу быть уверен, что файл-ключ не скомпрометируется, что его тот же умка через radmin не утянет с флешки. Разве что генерировать кучу пар RSA-ключей....

Ключи e-Token хороши, но работают только в  связке с AD и доменом  - у меня домена нет и ради этого заводить неоправданно.

2. Предоставление доступа по RDP/XRDP/NX (аренда приложений) - выдаем пользователю лист с паролями на N-сеансов,
делаем ему на рабочем столе ярлычок на маленький скриптик:
 а. Запрос пароля
 б. установка ssh-туннеля с паролем
 в. запуск приложения по установленному туннелю.

[tolstyj]

Я тут немного подумал и придумал такой способ. Только прошу не кидаться гнилыми помидорами, так как я не специалист, а так любитель самоучка.

По идее тебе нужно отследить когда пользователь сделал logout и поменять  пароль из заранее заданного списка.

Вот примерный способ:

1. Ты генерируешь список паролей и записываешь их в текстовый файл (доступный только root'у). Бумажную копию отдаешь пользователю.
2. При  logout должен создаваться файл-флаг (например скриптом из ~/.bash_logout)
3. скрипт по cron`у отслеживает наличие  файла-флага и запускает passwd для нужного пользователя с паролем из списка, и удаляет флаг.

Может кто поправит и укажет на более красивый путь.

[mihmih]

Но Ваш вариант предполагает использование паролей строго по-порядку. Т.о. пользователь должен каждый раз доставать полный список (и т.о. "светить" его перед злоумышленником.

[tolstyj]

Но Ваш вариант предполагает использование паролей строго по-порядку. Т.о. пользователь должен каждый раз доставать полный список (и т.о. "светить" его перед злоумышленником.

Я ж говорю, что я просто любитель-самоучка. Но если есть такая проблема, что кто-то стоит за спиной, то можно перед приходом на место выписать очередной пароль на отдельный листик.

Правда от хака с ипользоваеием паяльника в заднице это не спасет.

[Svertal]

(Нажмите, чтобы показать/скрыть)

Интересна тема, отмечусь, что-бы следить было удобнее.

[VinnyPooh]

http://en.wikipedia.org/wiki/S/KEY

гуглите по запросам one time password ssh но очевидного и простого решения как то не находится.

[ArcFi]

usb+putty+key ?

[mihmih]

usb+putty+key ?

Уважаемый! не поясните значение слова USB  в Вашей короткой фразе?

А сам пока нарыл:
http://rus-linux.net/lib.php?name=/MyLDP/sec/yubikey1.html

[ArcFi]

mihmih, флешка с ключом, putty там же и настроен соответственно.