The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Аутентификация, PAM, SSH

   Корень / Программы для администратора / Безопасность / Аутентификация, PAM, SSH

----* libssh - working SSH implementation by the mean of a library (Версия: 0.5.2 от 2011-09-18) [+]
[обсудить]
 Библиотека, предназначенная для интеграции поддержки SSH в программы на языке Си. Позволяет выполнять программы на удаленном сервере, копировать файлы через защищенное соединение, при этом поддерживается как стандартный scp механизм, так и поддержка sftp, которая реализована без задействования внешних библиотек, таких как libcrypto (из OpenSSL) или libgcrypt. libssh реализует серверные и клиентские функции, поддерживает протоколы SSH1 и SSH2, режимы шифрования AES-128, AES-192, AES-256, Blowfish, 3DES в CBC, возможность работы с серверами публичных ключей RSA и DSS, поддерживает сжатие данных, работу совместно с ssh-agent и организацию работы нескольких сеансов в рамках одного соединения.

Исходные тексты библиотеки насчитывают более 17 тыс. строк кода и распространяются под лицензией LGPL. Отсутствие зависимостей от внешних приложений и библиотек, позволяет использовать libssh для встраиваемых устройств. Из программ, использующих libssh можно отметить утилиту для двухсторонней синхронизации файлов csync.

 
----* autossh - Automatically restart SSH sessions and tunnels [+]
[обсудить]
 Программа для автоматического восстановления SSH сессий и туннелей после обрыва соединения.
 
----* shimmer - alternative to port knocking program [+]
[обсудить]
 Реализован интересный способ повышения безопасности системных сетевых сервисов, таких как SSH или telnet. Суть метода в том, что система начинает принимать соединения для заданного сервиса не по одному порту, а по группе сетевых портов, причём номер рабочего порта меняется каждую минуту и определяется в соответствии с определённым колючем, известным только уполномоченным на использование сервиса лицам. Остальные порты выступают в в роли "honeypot" пустышек, постоянно выдающих ошибку аутентификации.
 
----* pam_abl - PAM module that provides auto blacklisting [+]
[обсудить]
 PAM модуль для автодобавления хоста в черный список после серии неудачных запросов аутентификации. Может использоваться для защиты от атак направленных на подбор пароля.
 
----* hostapd - daemon for access point and authentication servers [+]
[обсудить]
 Демон обеспечивающий поддержку механизмов аутентификации IEEE 802.11 AP, IEEE 802.1X/WPA/WPA2/EAP/RADIUS для создания беспроводных точек доступа.
 
----* S/key, OPIE - One-time Passwords [+]
[обсудить]
 Системы аутентификации по одноразовым паролям, т.е. генерируется набор паролей, каждый из которых можно использовать только один раз. Обычно используют для входа из недоверительной среды, в которой пароль могут подсмотреть. До версии FreeBSD 5 в комплект входила система S/key (основанная на MD4), а начиная с версии 5.0 - OPIE (MD5).
  • OTPW - реализация программы login, PAM модуль и библиотека для адаптации любой программы для работы с S/key или OPIE;
  • Про работу с OPIE можно прочитать здесь и здесь.
  •  
    ----* pam_usb - PAM module that enables authentication using a USB in Linux (Версия: 0.5.0 от 2011-04-22) [+]
    [обсудить]
     PAM модуль для аутентификации по DSA ключу, хранимому на съемном USB Flash (возможно использование CDROM). Например, можно обеспечить вход в сеть выдав каждому пользователю по Flash с ключом. Пользователь садится за машину, вставляет Flash и работает без ввода пароля.
     
    ----* HPN-SSH - High Performance SSH/SCP [+]
    [обсудить]
     Патчи к OpenSSH, устраняющие ряд узких мест в механизме буферизации, как в серверной, так и в клиентской части, что позволяет значительно (примерно в 10 раз) увеличить скорость пересылки большого объема данных (как при использовании не пропатченного ssh/scp клиента с пропатченным ssh сервером, так и при связке пропатченный клиент - не пропатченный сервер).
    Для организации сверхскоростной передачи данных доступен дополнительный патч, позволяющий передавать данные без шифрования, при этом этап аутентификации шифруется.
     
    ----* pgsql_auth - Authentication helper for SQUID [+]
    [есть мнение]
     Модуль аутентификации пользователей для SQUID. База пользователей SQUID лежит в PostgreSQL. Кроме имени и пароля проверяется поле "state" и если не равно 0, то аутентификация не проходит.
     
    ----* pam_chroot - Linux-PAM module that allows a user to be chrooted (Версия: 0.9.2 от 2007-10-02) [+]
    [обсудить]
     PAM модуль, позволяющий организовать запуск программ для определенного пользователя или группы в chroot окружении. Может использоваться совместно с типами auth, account и session. Поддерживает опции конфигурирования (могут быть заданы в отдельном файле конфигурации): regex маски, задание директории для помещения в chroot для каждого пользователя/группы в отдельности.
     
    ----* Corkscrew - tool for tunneling SSH through HTTP proxies [+]
    [обсудить]
     Утилита для проброса SSH соединения через HTTP прокси, например, squid или mod_proxy.
     
    ----* PuTTY - A Free Telnet/SSH Client (Версия: 0.63 от 2013-09-05) [+]
    [есть мнение]
     Один из лучших Telnet, SSH и Rlogin клиентов для Win32, первоначально разработанный для удаленной работы на Unix серверах с Windows машин. позже, был портирован под Unix.
     
    ----* scponly - limited shell for secure file transfers [+]
    [обсудить]
     scponly позволяет организовать защищенное копирование файлов без возможности запуска программ и необходимости использования SSH/OpenSSH. Кроме того scponly поддерживает chroot в директорию пользователя и может принимать соединения от sftp клиентов.
     
    ----* Chroot в OpenSSH [+]
    [обсудить]
     Подборка патчей для помещения избранных пользователей в chroot окружение с входом через SSH:
  • Патч для помещения пользователей в chroot, при обнаружении маски "/./" в имени домашнего каталога в /etc/passwd (старая версия);
  • Патч для FreeBSD, помещает в chroot или jail по логину или группе;
  • Патч для помещения избранных пользователей в chroot (openssh-3.5p1). Добавляет директивы ChrootDir, ChrootAll, ChrootUsers, NoChrootUsers;
  • Патч sftp-server для запрещения выхода за рамки домашнего каталога.
  • SSHjail - патч к OpenSSH, для помещения избранных пользователей в различные chroot окружения. Настройки хранятся в /etc/sshjail.conf.
  • chroot+sftp hack - делает chroot при соединении по SFTP, если в пути к домашней директории пользователя указано /./;
  •  
    ----* GSASL - implementation of the Simple Authentication and Security Layer framework (Версия: 0.2.1 от 2004-11-20) [+]
    [обсудить]
     GNU реализация SASL метода шифрования/аутентификации, широко используемая совместно с SMTP, POP3 и IMAP.
  • Cyrus-sasl - наиболее популярная SASL реализация.
  •  
    ----* Dropbear SSH Server (Версия: 2013.56 от 2013-03-29) [+]
    [обсудить]
     Нацеленный на использования во встраиваемых системах SSH сервер (очень небольшие требования к объему памяти и небольшой размер кода), поддерживающий протокол SSH 2. К сожалению, с точки зрения безопасности Dropbear SSH не лучше OpenSSH, так как часть кода заимствована.
     
    ----* GnuTLS - GNU Transport Layer Security Library (Версия: 1.0.22 от 2004-11-08) [+]
    [обсудить]
     Библиотека реализует поддержку протоколов шифрования передаваемых данных TLS 1.0-1.2 и SSL 3.0, хешей SHA-256/384/512, блочного шифра Camellia (RFC 4132), аутентификации через SRP, X.509 сертификаты или OpenPGP ключи. Поддерживаются расширения: TLS/PSK (Pre-Shared-Keys), TLS/IA (Inner Applicatio), проксирование X.509 сертификатов.

    Базовая библиотека распространяется в рамках лицензии GPLv2.1 или более новой, а экстра-модули (поддержка TLS/IA, LZO сжатия, обработчик FIPS-режима в Libgcrypt, библиотека для обеспечения совместимости с OpenSSL, тестовый комплект и набор утилит командной строки) - под лицензией GPLv3.

     
    ----* SHFS - SHell FileSystem Linux kernel module (Версия: 0.35 от 2004-06-05) [+]
    [обсудить]
     Модуль для Linux kernel 2.4.x позволяющий монтировать директории с удаленной машины используя SSH или RSH соединение.
     
    ----* sec_rpc - Проброс NFS через SSH туннель [+]
    [обсудить]
     sec_rpc доступен для Linux, HPUX, FreeBSD и Solaris. Позволяет организовать SNFS (Secure NFS, v2 и v3) путем проброса через SSH2 туннель.
     
    ----* mod_auth_pgsql - allows user authentication and log in PostgreSQL (Версия: 0.9.12 от 2002-01-13) [+]
    [обсудить]
     Модуль для авторизации пользователей в Apache через PostgrSql базу. Параметры соединения с базой, таблица и поля с логином и паролем определяются в файле конфигурации, имеется возможнось записи информации о входах пользователей в специальную таблицу.
     
    ----* mod_auth_radius - RADIUS authentication module for Apache [+]
    [обсудить]
     Модуль для авторизации пользователей в Apache через удаленный Radius сервер.
     
    ----* pam_watch is a PAM module that controls all input and output of the user session and allows external connection to it using fifos. [+]
    [обсудить]
     pam модуль для слежения за работой пользователя в консоли.
     
    ----* getpg - provide for authentication against "virtual" user accounts stored in a PostgreSQL database [+]
    [обсудить]
     Система для создания виртуальных хостов путем организации авторизации пользователей через базу хранимую в PostgreSQL. В настоящее время написаны блоки авторизации через PostgreSQL для UW-IMAP, qmail, существуют PAM и NSS модули.
     
    ----* Tac_bsd - login system used to authenticate users from a TACACS server [+]
    [обсудить]
     Замена программы login для авторизации через TACACS сервер.
     
    ----* authpgsql (nss_postgresql и pam_postgresql) - authorization modules for the NSS and PAM systems. (доп. ссылка 1) [+]
    [обсудить]
     PAM модули для авторизации в PostgreSQL.
  • См. также модуль pam-pgsql.
  •  
    ----* MySQL for qmail (Версия: 5.1.51 от 2010-10-07) [+]
    ----* MySQL+proftpd [+]
    ----* MySQL+WU-FTPD - Authentication & Logging functions (доп. ссылка 1) [+]
    ----* MySQL+WU-IMAP (доп. ссылка 1) [+]
    ----* Ascend Radius + MySQL (Версия: 0.9.5.116 от 2008-10-08) [+]
    ----* PostgreSQL + qmail (Версия: 9.1.0 от 2011-09-13) [+]
    ----* getpg - functions to allow UW-IMAP to authenticate users against a PostgreSQL database [+]
    [обсудить]
     Модули для авторизации во внешней базе пользователей.
     
    ----* Experimental Authentication and Authorization Token Management Extensions in the FreeBSD Kernel [+]
    [обсудить]
     
    ----* MIT Kerberos V5. (Версия: 1.12.1 от 2014-03-12) [+]
    [обсудить]
     Классическая Kerberos реализация от MIT, имеет ограничения по использованию в некоторых странах за пределами США. Более популярной, совместимой с MIT и функциональной реализацией Kerberos 5 является Heimdal (в комплект входит набор клиентских и серверных программ, таких как rsh, telnet, popper, login и т.д.).

    Суть Kerberos - в наличии централизованного сервера аутентификации (AS) (и, опционально, кеширующих, подчиненных, серверов), и определенного числа хостов и пользователей, привязанных к AS и объединенных в группы. Пользователь проходит аутентификацию (вводит пароль) только при первом входе, затем ему выдается "билет" (TGT - ticket-granting ticket), по которому он может получать доступ на всех машинах входящих в группу. Причем "билет" прозрачно мигрирует от машины к машине вслед за пользователем. Для передачи содержимого сеансов может использоваться шифрование, для каждого сеанса генерируется единоразовый сессионный ключ.
    Другие реализации и приложения:

  • GNU Shishi - не совсем завершенная Kerberos 5 реализация от проекта GNU, в комплект входят клиенты и серверы для IMAP, SSH, rsh/rlogin, PAM модуль.
  • KTH Kerberos - реализация Kerberos 4 основанная на eBones, в планах поддержка Kerberos v5.
  • pam_krb5 - PAM модуль для Kerberos v5.
  • mod_auth_kerb - модуль для аутентификации в Kerberos для Apache;
  •  
    !!!-* OpenSSH - свободная версия SSH (Поддерживается разработчиками OpenBSD, совместима с протоколами SSH 1.3, 1.5, 2) (Версия: 3.8.1p1 от 2004-04-20) [+]
    ----* psst - free implementations of the SSH protocol (обзор существующих ssh1/2 серверов/клиентов) [+]
    ----* lsh - GPL реализация протокола SSH2 (Версия: 1.4.1 от 2002-06-27) [+]
    ----* SSH - Secure Shell. (Версия: 3.1.0 от 2001-12-15) [+]
    [обсудить]
     Очень надежная замена программам rlogin, rsh, rcp и rdist. Создает шифрованное соединение между хостами. Если вы еще не используйте SSH, то поторопитесь.
     
    ----* postfix+pam - Patch to add PAM lookup table to Postfix. [+]
    [обсудить]
     Патч реализующий поддержку проверки наличия пользователя, на начальном этапе почтовой сессии, через PAM для postfix.
     

    Близкие по значению ключи
    gatekeeper  group  nas  dial-in  tacacs  dial-out  share  aaa  nss  root  nmap  spoofing  ddos  exploit  bruteforce 
    Близкие по совпадению ключи
    openssh  rsa  iwd  http3  quic  dsa  attack  github  sudo  wifi  suid  wpa_supplicant  http  ssh3  samba 
    Похожие разделы ключей
  • Управление пользователями, авторизация
  • Безопасность
  • Криптование

  • Раздел новостей
     [19.02.2024] Проблемы, приводящие к обходу аутентификации Wi-Fi в IWD и wpa_supplicant
     [12.01.2024] Проект OpenSSH опубликовал план прекращения поддержки DSA
     [20.12.2023] Использование SSH поверх UNIX-сокета вместо sudo для избавления от suid-файлов
     [19.12.2023] Terrapin - уязвимость в протоколе SSH, позволяющая снизить защиту соединения
     [17.12.2023] Представлен SSH3, вариант протокола SSH, использующий HTTP/3
     [15.11.2023] Воссоздание RSA-ключей через анализ SSH-соединений к сбойным серверам
     [30.08.2023] В OpenSSH добавлена защита от анализа задержек при вводе на клавиатуре
     [25.03.2023] GitHub поменял закрытый RSA-ключ для SSH после его попадания в публичный репозиторий
    Следующая страница >>

    Советы и заметки
     Применение двухфакторной аутентификации для SSH и GDM средствами Google Authenticator
     Автоматическое создание домашних директорий для пользователей в Samba
     Аутентификация при помощи Bluetooth телефона или USB Flash в Debian/Ubuntu Linux
     Использование USB-брелоков Yubikey для ключей GPG и SSH
     Настройка аутентификации по отпечаткам пальцев в Ubuntu Linux
     Какие ограничения лучше включить для SSHD ?
     Как включить доступ на Cisco через ssh
     Как настроить доступ по SSH на базе секретных ключей без ввода пароля.
    Следующая страница >>

    Тематический каталог
     Аутентификация на SSH сервере с использованием ключей
     Руководство по настройке аутентификации пользователей через LDAP.
     Беспарольная аутентификация по ключу через pam_usb
     Squid - Аутентификация по user
     Включение Fedora Core 7 в домен под управлением Windows 2003
     Настройка Samba 3 (PDC) с пользователями в LDAP каталоге
     PAM AUTH в sendmail 8.12
     Авторизация пользователей Linux из OpenLDAP и /etc/passwd одновременно
    Следующая страница >>

    Каталог программ
     pam_usb - PAM module that enables authentication using a USB in Linux
     pam_chroot - Linux-PAM module that allows a user to be chrooted
     pam_abl - PAM module that provides auto blacklisting
     getpg - provide for authentication against "virtual" user accounts stored in a PostgreSQL database
     authpgsql (nss_postgresql и pam_postgresql) - authorization modules for the NSS and PAM systems.
     pam_tacplus - PAM module support the authentication, authorization (account management) and accounting (session management)
     FreeRADIUS Server Project - high-performance and highly configurable GPL'd RADIUS server
     yard - Yet Another Radius Daemon - free RADIUS daemon for accounting and authorization
    Следующая страница >>

    Каталог ссылок
     Настройка PAM_LDAP и аутентификация в SAMBA через LDAP сервер
     PAM documentation
     Using OpenLDAP For Authentication
     Русская редакция FAQs: SSH, WuFTPD, ProFTPD и Solaris
     Samba/LDAP How-To using Samba v.3
     UNIX Computer Security Checklist and papers
     openbsdsupport.org - OpenBSD User documentation project
     Migs' RADIUS Labs
    Следующая страница >>

    Архив документации
     Начала PAM.
     Организация централизованной системы аутентификации при помощи Fedora Directory Server и MIT Kerberos
     Построение защищенных рутеров на базе Cisco ISO
     Сохраняем настройки Sendmail в дирректориях LDAP.
     Настройка Cisco CallManager в связке с OpenLDAP
     Централизованная схема управления сетью с использованиемOpenLDAP
     Собираем OpenSSH и OpenSSL
     Руководство по настройке и использованию SSH
    Следующая страница >>



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру