4 231
modifications
« Authentification SSH multi-facteur avec OATH (OTP / HOTP) et clés publiques SSH » : différence entre les versions
Aller à la navigation
Aller à la recherche
Authentification SSH multi-facteur avec OATH (OTP / HOTP) et clés publiques SSH (voir la source)
Version du 5 juin 2021 à 21:05
, 5 juin 2021aucun résumé des modifications
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| (9 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 9 : | Ligne 9 : | ||
Générez un secret hexadécimal | Générez un secret hexadécimal | ||
<pre> | <pre> | ||
$ head -10 /dev/urandom | sha512sum | cut -b 1- | $ head -10 /dev/urandom | sha512sum | cut -b 1-50 | ||
234197a7d5ef5c16 | 234197a7d5ef5c16 | ||
</pre> | </pre> | ||
| Ligne 25 : | Ligne 25 : | ||
</pre> | </pre> | ||
Pour activer l'authentification oath pour ssh, ajoutez cette ligne au début du fichier <code>/etc/pam.d/sshd</code> : | Pour activer l'authentification oath pour ssh, ajoutez cette ligne au début du fichier <code>/etc/pam.d/sshd</code> : | ||
<pre>auth required pam_oath.so usersfile=/etc/users.oath window=30 digits=6</pre> | <pre>auth required pam_oath.so usersfile=/etc/users.oath window=30 digits=6</pre> | ||
| Ligne 59 : | Ligne 58 : | ||
</pre> | </pre> | ||
Vous pouvez ensuite générer un QRcode avec qrencode, en veillant bien à passer le secret <code>Base32 secret</code> récupéré avec la commande précédente : | Vous pouvez ensuite générer un QRcode avec qrencode, en veillant bien à passer le secret par le <code>Base32 secret</code> récupéré avec la commande précédente : | ||
<pre> | <pre> | ||
qrencode -t UTF8 'otpauth://totp/user@ | qrencode -t UTF8 'otpauth://totp/user@server?secret=ENAZPJ6V55OBM===&issuer=OpenSSH&algorithm=SHA1&digits=6&period=30' | ||
</pre> | |||
Depuis une machine extérieure : | |||
<pre> | |||
$ ssh user@server | |||
One-time password (OATH) for `user': | |||
</pre> | </pre> | ||