Combinând autentificarea bazată pe chei de securitate cu montarea sshfs pe sistemul live bootat PXE

Apollo13

29.09.2023, 18:25

TL;DR: Care este cea mai bună modalitate de a monta casele utilizatorilor prin SSHFS (sau orice alt protocol criptat) la conectare, impunând în același timp utilizarea cheilor de securitate precum Yubikeys și Nitrokeys?

Varianta lunga: Trebuie să construiesc o nouă rețea formată din (inițial cel puțin) un server central și mai mulți clienți. Ideea este să lăsați clienții să pornească prin PXE și apoi să montați toate folderele necesare prin SSHFS. Asta nu ar trebui să fie deloc o problemă cu un pam_mount configurat corect dacă aș dori să folosesc doar numele de utilizator și parola, dar trebuie să impun și necesitatea de a folosi un Yubikey ca al doilea factor pentru a debloca monturile SSHFS.

Cunoașteți vreo soluție mai mult sau mai puțin gata de utilizare pe care să le pot folosi pentru a-mi atinge obiectivul?

De dragul caracterului complet, desigur, am avut și câteva idei, dar nu știu dacă una dintre ele este de fapt fezabilă:

Utilizarea pam_exec în combinație cu un script personalizat care acționează ca un înveliș în jurul tuturor pașilor necesari. Un demon de server ar verifica autentificarea de bază folosind nume de utilizator+parolă și, dacă a reușit, va răspunde cu o provocare (FIDO2) pe care clientul o va folosi pentru a genera o afirmație FIDO2 pe care serverul ar putea să o verifice și, dacă are succes, să genereze un SSH temporar. cheia căreia cheia publică ar fi adăugată fișierul authorized_keys și cheia privată va fi returnată clientului. După o anumită perioadă de timp, serverul ar elimina din nou această intrare. Sunt destul de sigur că acest lucru este fezabil.
Folosind din nou pam_exec și un script personalizat, dar de data aceasta adăugând Keycloak la configurarea serverului, astfel încât demonul serverului să acționeze ca furnizor de servicii în ceea ce privește OpenID Connect. Cred că problema aici este că scriptul client (wrapper) ar trebui să se poată autentifica la Keycloak, deoarece „Direct Grant”/„Resource Owner Grant” nu poate fi folosit cu autentificarea cu doi factori bazată pe token-uri hardware.

Mulțumesc anticipat pentru orice indiciu.

0 + 0

sshfs

yubikey

SEF 777

întrebarea această in alte limbi:

EN: Combining security key based login with sshfs mount on PXE booted live system

TH: การรวมการเข้าสู่ระบบตามคีย์ความปลอดภัยเข้ากับ sshfs ที่เมานต์บนระบบ PXE ที่เริ่มทำงานจริง

RO: Combinând autentificarea bazată pe chei de securitate cu montarea sshfs pe sistemul live bootat PXE

RU: Объединение входа на основе ключа безопасности с монтированием sshfs в работающей системе с загрузкой PXE

VI: Kết hợp đăng nhập dựa trên khóa bảo mật với sshfs mount trên hệ thống trực tiếp đã khởi động PXE

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.