CentOS release 5.5 (Final) Kernel 2.6.18-194.32.1.el5 on an i686

Ähnliche Dokumente
Two-factor authentication / one-time passwords

oder ein Account einer teilnehmenden Einrichtung also

Einrichtung des WLANs so funktioniert s // DHBW Mosbach / Campus Bad Mergentheim / IT Service Center

Verwendung des IDS Backup Systems unter Windows 2000

Lehrveranstaltung Grundlagen von Datenbanken

Internationales Altkatholisches Laienforum

FAQ Verwendung. 1. Wie kann ich eine Verbindung zu meinem virtuellen SeeZam-Tresor herstellen?

Schumacher, Chris Druckdatum :11:00

KEIL software. Inhaltsverzeichnis UPDATE. 1. Wichtige Informationen 1.1. Welche Änderungen gibt es?

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

DCC E2 GRUNDWISSEN : TEIL VIER DCC E2. Einen Symlink erstellen

Einrichten eines SSH - Server

Xesar. Die vielfältige Sicherheitslösung

Ihren Kundendienst effektiver machen

Sichere Kommunikation mit Ihrer Sparkasse

TELIS FINANZ Login App

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

Anleitung zur Online-Schulung

Powerline Netzwerk SICHERHEITS EINSTELLUNGEN. ALL1683 USB Adapter. und. ALL1682 Ethernet bridge. ALLNET Powerline Configuration Utility

TAG 2: Wie Sie Bestell-Buttons zur Bezahlung mit PayPal erstellen

Informatik für Ökonomen II HS 09

Mit einem PDA über VPN in s Internet der Uni Stuttgart

Anleitung: WLAN-Zugang unter Windows 8 - eduroam. Schritt 1

Erstellen eines Formulars

Angriffe gegen Passwörter Ein sicheres Passwort Passwörter benutzen Passwörter sichern. Sichere Passwörter

Authentisierung in Unternehmensnetzen

So empfangen Sie eine verschlüsselte von Wüstenrot

Stecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE.

Lernprogramm "Veröffentlichen von WMS- Services"

Einrichtung eines -Kontos bei Mac OS X Mail Stand: 03/2011

Anleitung Outlook 2002 & 2003

Einführung Inhaltsverzeichnis

Anleitungen. für den Gebrauch des Glasfaser-Endgerätes (CPE)

Das Kerberos-Protokoll

Konfigurationen

Inhaltsverzeichnis Inhaltsverzeichnis

SSH Authentifizierung über Public Key

SFirm32 Umstellung FTAM EBICS

Herzlich Willkommen bei der BITel!

Anleitung zur Anmeldung mittels VPN

Wollen Sie einen mühelosen Direkteinstieg zum Online Shop der ÖAG? Sie sind nur einen Klick davon entfernt!

Outlook Express: Einrichtung Account

Account bei MathWorks anlegen

proles-login. Inhalt [Dokument: L / v1.0 vom ]

Erste Hilfe. «/IE Cache & Cookies» Logout, alte Seiten erscheinen, Erfasstes verschwindet?

Installation und Test von Android Apps in der Entwicklungs- und Testphase

Handbuch. NAFI Online-Spezial. Kunden- / Datenverwaltung. 1. Auflage. (Stand: )

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Mobile-Szenario in der Integrationskomponente einrichten

Daten Sichern mit dem QNAP NetBak Replicator 4.0

HOSTED EXCHANGE EINRICHTUNG AUF SMARTPHONES & TABLETS

Mobile Konsole von NetSupport DNA Erste Schritte. Copyright 2011 NetSupport Ltd alle Rechte vorbehalten

Anleitung zur Einrichtung der elektronischen Arbeitszeitkarte im Browser und Vergabe eines neuen Passwortes

Gemeinsamer Bibliotheksverbund: Übertragung von Datenexporten für den Verbundkatalog Öffentlicher Bibliotheken

Meine ZyXEL Cloud. Tobias Hermanns V0.10

Anleitung Microsoft Select-Plus Registrierung

FTP-Server einrichten mit automatischem Datenupload für

Sichere Kommunikation mit Ihrer Sparkasse

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Handbuch ZfEditor Stand

Eduroam: Installationsanleitung Windows 7. Konfiguration des Zugangs

Einrichtung der Bankverbindung in der VR-NetWorld Software mit dem PIN/TAN-Verfahren (VR-Kennung)

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

A1 -Einstellungen für Android

Anleitung zur Citrix Anmeldung

Leichte-Sprache-Bilder

Agentur für Werbung & Internet. Schritt für Schritt: -Konfiguration mit Apple Mail

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Änderung des Portals zur MesseCard-Abrechnung

BMW ConnectedDrive. connecteddrive. Freude am Fahren BMW CONNECTED DRIVE. NEUERUNGEN FÜR PERSONALISIERTE BMW CONNECTED DRIVE DIENSTE.

Arbeiten mit MozBackup

7. Rufnummern zuweisen

Corporate Marketing & Communications. Ganz einfach im 3M Online-Shop bestellen. So wird bestellt.

1 Konto neu in Mailprogramm einrichten

ERSTE SCHRITTE.

Fotostammtisch-Schaumburg

ISAP Kundencenter. Alles. Einfach. Online. Das Handbuch zum neuen ISAP Kundencenter ISAP AG. All rights reserved.

KURZANLEITUNG DUPLICITY MIT CLOUD OBJECT STORAGE

INTERNETZUGANG UND DATENBANKEN IM ZRS

ANLEITUNG GERÄTEREGISTRATION AN KRZ.SMK

Zugang zum WLAN eduroam mit Windows Phone 8.1 Geräten

SSL-VPN unter Android mit Junos Pulse Stand: 10. Februar 2015

Tipps und Tricks zur Installation von Java-basierten Programmen auf Handys

Konfiguration unter Windows XP SP2 +

Websites mit Dreamweaver MX und SSH ins Internet bringen

Lübecker Ewiger -Account (LEA)

Simple SMS Gateway. Anleitung. Bei Fragen kontaktieren Sie bitte die Simple SMS Service- Hotline: Telefon: +43 (0) (aus dem Ausland)

TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: installcentos.odt

Mail Schule Meilen: Adresse einrichten

ÖVSV Mitglieder-Datenbank. Benutzerhandbuch Version 1.2.1

M-net -Adressen einrichten - Apple iphone

Smartphone mit Nahfunk (NFC)

Bedienungsanleitung. FarmPilot-Uploader

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Jan Mönnich

Diese Anleitung beschreibt das Vorgehen mit dem Browser Internet Explorer. Das Herunterladen des Programms funktioniert in anderen Browsern ähnlich.

Internet Explorer Version 6

Transkript:

CentOS release 5.5 (Final) Kernel 2.6.18-194.32.1.el5 on an i686 tuxbox login: root Password: Mario Lorenz mario.lorenz@guug.de Chemnitzer Linux-Tage 2011

Inhalt Benutzer-Authentifizierung: Grundlagen Passwörter: Verfahren, Stärken, Schwächen Einmal-Passwörter (OTP) Tokens Einrichtung und Verwendung unter Linux Zusammenfassung 2/37

Aufgaben für Andere ausführen Vor Ausführung der Tätigkeit prüfen: Identifizierung (Wer?) Authentifizierung (Ist er es wirklich)? Authorisierung (Darf er das?) Davor/danach: Accounting (Protokollierung) 3/37

Identifizierung login: tux 4/37

Authentifizierung tux 5/37

Authentifizierung Password: ******* 6/37

Authorisierung [tux@tuxbox /projects]$ ls -l drwx------ 2 beastie beastie 4096 Mar 12 08:33 world_domination_plans [tux@tuxbox /projects]$ ls -l wold_domintion_plans ls: world_domination_plans: Permission denied [tux@tuxbox /projects]$ 7/37

Accounting (aus http://xkcd.com/838/) 8/37

Methoden der Authentifizierung Direkte Authentifizierung ( Erkennen ) Indirekte Authentifizierung: Trusted Third Party Fordern eines Identitätsbeweises Beweis durch Können Beweis durch Besitz Beweis durch Wissen Beweis durch biometrisches Merkmal 9/37

Probleme Unzuverlässigkeit der Methode Spezielle Eingabegeräte oder Schnittstellen Spezielle Software Vertrauen in entfernte Terminals 10/37

Passwörter Beweis durch Wissen Einfache Eingabemöglichkeit Protokoll: Nutzer gibt geheime Zeichenfolge ein a) Rechner vergleicht Zeichenfolge mit gespeicherter Kopie b) Rechner vergleicht Transformation der Zeichenfolge mit gespeicherter Transformation Variante: Challenge-Response 11/37

Passwörter unter Linux /etc/shadow ntp:!!:14315:0:99999:7::: nscd:!!:14315:0:99999:7::: vcsa:!!:14315:0:99999:7::: rpc:!!:14315:0:99999:7::: rpcuser:!!:14315:0:99999:7::: nfsnobody:!!:14315:0:99999:7::: named:!!:14315:0:99999:7::: sshd:!!:14315:0:99999:7::: dovecot:!!:14315:0:99999:7::: webalizer:!!:14315:0:99999:7::: squid:!!:14315:0:99999:7::: pcap:!!:14315:0:99999:7::: haldaemon:!!:14315:0:99999:7::: xfs:!!:14315:0:99999:7::: tux:$1$xcyxd0w.$4p2pq//xjbcn5fp2qts/60:15047:0:99999:7::: Algorithmus Salt Hash (Transformation) 12/37

Ideale Passwörter einfach zu merken / nicht zu vergessen nicht zu erraten (hinreichend komplex) einzigartig (nicht mehrmals verwendet) regelmäßig geändert geheim 13/37

Grenzen Anzahl der Passwörter pro Person? nicht aufgeschrieben? nicht im Browser gespeichert? nicht mehrmals verwendet? Sichere Client-Umgebung? Abhörsichere Verbindung? 14/37

Fallback-Anforderungen Compromize-Evident Leicht änderbar 15/37

Einmalpasswörter Passwort nur einmal gültig Nächster Authentifizierungsvorgang erfordert neues Passwort Passwörter sind auf Liste aufgeschrieben Beweis durch Besitz Liste muss geheim bleiben Sicher aufbewahren Nicht in Rechner (oder Web-Dienste) eingeben Ergänzung durch herkömmliches Passwort ( PIN ) 16/37

Stand der Technik Generierung mit Hilfe von Tokens Bild: Mateusz Adamowski/WikiMedia 17/37

Tokens Kleine Scheckkarten/Schlüsselanhänger Vertrauenswürdiges Rechnersystem Schlüsselmaterial in Token gespeichert Token berechnet gültiges Passwort Unmöglich auszulesen ( Tamper-Proof ) Vergossen ( Tamper-Evident ) 18/37

Software-Tokens Rechner, PDA oder Handy Vertrauenswürdiges Rechnersystem Schlüsselmaterial in Token gespeichert Token berechnet gültiges Passwort Unmöglich auszulesen ( Tamper-Proof ) Vergossen ( Tamper-Evident ) 19/37

Entwicklung Bellcore S/Key, OPIE Proprietäre Algorithmen (RSA SecurID, motp) OATH: www.openauthentication.org 20/37

OTP-Funktionsweise 0x00000001 Moving Factor 0x12345678901234567890 Secret (Seed) HMAC 0x09876543210987654321 Truncation 543267 21/37

Moving Factor Ereignis-Basiert (HOTP) Zeit-Basiert (TOTP) Challenge-Response (OCRA) 22/37

Praxis OTP mit Linux 23/37

Schritt 1: Tokens beschaffen HOTP/TOTP-Kompatibel Lieferant liefert Schlüsseldaten Lieferantenkette bis Hersteller wird vertraut z.b Feitian, Zyxel,... z.b. Feitian C-100 / C-200, Preis ca. EUR 10,- / Stück, bei www.gooze.eu Disclaimer: Ich kann nichts zur Vertrauenswürdigkeit sagen weder positiv noch negativ... 24/37

Software-Tokens Abbildung: Androidtoken 25/37

Software-Token für Phones IPhone http://code.google.com/oathtoken/ Android http://code.google.com/p/androidtoken/ Java MIDP (praktisch alle besseren Telefone) http://www.ds3global.com/index.php? option=com_content&task=view&id=71 26/37

Schritt 2: Software beschaffen Hersteller-Software (teuer...) OATH-Toolkit (HOTP, TOTP comming soon) http://www.nongnu.org/oath-toolkit/ sudo apt-get libpam-dev./configure prefix=/ make sudo make install 27/37

Schritt 3: PAM konfigurieren [root@tuxbox etc]# cat /etc/pam.d/sshd #%PAM-1.0 auth sufficient pam_oath.so usersfile=/etc/users.oath window=10 digits=6 auth include system-auth account required pam_nologin.so account include system-auth password include system-auth session optional pam_keyinit.so force revoke session include system-auth session required pam_loginuid.so 28/37

Schritt 4: Secrets konfigurieren [root@tuxbox etc]# oathtool --hotp -w 1000 -d 6 258AAFBC7B4FC97AF639A655AB05AF8AF476A726 755639 42 [root@tuxbox etc]# cat ls -l users.oath -rw------- 1 root root 89 2011-03-18 22:29 users.oath [root@tuxbox etc]# cat ls -l users.oath HOTP ml test 258AAFBC7B4FC97AF639A655AB05AF8AF476A726 42 755639 \ 2011-01-19T00:06:13L Dieser Key ist jetzt fast wertlos... 29/37

Schritt 5: Ausprobieren ChallengeResponseAuthentication=yes in /etc/ssh/sshd_config sshd neu starten Login versuchen 30/37

Komplexere Setups Apache: http://code.google.com/p/mod-authn-otp/ Web-Auth mit OTPs nicht trivial.. Konsistenz des Moving-Factors: Schreibzugriff. 31/37

Komplexere Setups Anbindung von Diensten: - Windows-Auth - Radius - Web-Authentifizierung Rechnercluster Moving-Factor-Konsistenz In OpenSource nur begrenzt verfügbar 32/37

Zusammenfassung Authentifizierung = Identitätsbeweis Passwörter alleine sind (relativ) unsicher Multi-Faktor-Authentifizierung sinnvoll z.b. Wissen + Besitz Besitz-Faktor: Vertrauenswürdige Tokens Preiswert verfügbar Für Linux in kleinen Setups einfach einsetzbar 33/37

Vielen Dank für Ihre Aufmerksamkeit. Fragen? BSD Daemon Copyright 1988 by Marshall Kirk McKusick. All Rights Reserved. Cliparts aus http://www.opencliparts.org 34/37

URLs SoftTokens: http://code.google.com/oathtoken/ http://code.google.com/p/androidtoken/ http://www.ds3global.com/index.php? option=com_content&task=view&id=71 Software: http://www.nongnu.org/oath-toolkit/ Tokens: http://www.gooze.eu 35/37

Backup Slides 36/37

Reflections on Trusting Trust Ken Thompson: http://cm.bell-labs.com/who/ken/trust.html Wie weit geht Vertrauen? 37/37

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback