venerdì 19 aprile 2013

Raspberry PI: Two Factor Authentication via Google

Ebbene sì: sono uno dei fortunati possessori di una RaspberryPI. In realtà ne posseggo due, una utilizzata per i test e l'altra che se ne sta allegramente collegata al modem di casa per "fare cose". Quest'ultima è direttamente accessibile dalla Grande Rete attraverso la più classica delle connessioni SSH.
La raspberryPI e la maglietta. Stiloso!
Un bel giorno mi sovvenne l'idea di rendere il login un pochino più sicuro, introducendo la Two Factor Authentication:
un metodo di autenticazione che si basa sull'utilizzo congiunto di due metodi di autenticazione individuale.
Nello specifico i due metodi sarebbero:
  1. qualcosa che si conosce (la coppia user/password);
  2. qualcosa che si possiede (un generatore di codici);
Nulla di nuovo, insomma. Diversi istituti bancari da tempo utilizzano questa modalità per l'accesso all'e-banking. Anche Google consente di attivare il meccanismo sui suoi account utilizzando, come generatore di password temporanee, una applicazione per smartphone. Il tutto è generosamente rilasciato sotto forma di modulo PAM.
Ma veniamo alla pratica e cerchiamo di farla valere più della grammatica.
Prendiamo la raspberry sulla quale sta girando la raspbian e installiamo il modulo che serve.
debe@raspberrypi ~ $ sudo apt-get install libpam-google-authenticator
Fatto? Bene! Passiamo alla configurazione.
Lanciando il tool google-authenticator viene chiesto se si vuole utilizzare un token time-based (TOTP) cioè che cambia a intervalli regolari, oppure no.
Do you want authentication tokens to be time-based (y/n) n
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://hotp/utente@host%3Fsecret%3DCHIAVESEGRETISSIMA
Your new secret key is: CHIAVESEGRETISSIMA
Your verification code is 123456
Your emergency scratch codes are:
  xxxxxxxx
  yyyyyyyy
  zzzzzzzz
  qqqqqqqq
  hhhhhhhh
 Do you want me to update your "/home/debe/.google_authenticator" file (y/n)
Se decidiamo per la prima strada, bisogna tener presente che il clock della macchina deve essere corretto e quindi, probabilmente, serve installare anche un client ntp.
Scelto il tipo, ci viene fornito il materiale per sincronizzare l'applicazione che genera i codici. Si può scansionare il QR Code direttamente in console (generato tramite la libreria libqrencode3), seguendo il link fornito, oppure inserendo manualmente la chiave di partenza. Al termine salviamo il file di configurazione.
Ora indichiamo a sshd di utilizzare il modulo appena installato. Aggiungiamo al file /etc/pam.d/sshd (dopo tutte le autenticazioni di default) la riga.
auth required pam_google_authenticator.so nullok
nullok serve per consentire l'accesso anche a chi non ha un file di configurazione (quindi solo con user-pass).
I codici di emergenza servono, con somma fantasia, in caso in cui non abbiamo a disposizione qualcosa per generare il codice.
Prima di far ripartire sshd manca ancora un passo: nel file /etc/ssh/sshd_config il parametro ChallengeResponseAuthentication deve essere yes.
Facciamo ripartire il servizio sshd e tentiamo il login:

debe@host1:~> ssh <indirizzoIP>
Password:
Verification code:
Linux raspberrypi 3.6.11+ #371 PREEMPT Thu Feb 7 16:31:35 GMT 2013 armv6l
debe@raspberrypi ~ $
Il verification code è quello generato dalla applicazione.

That's all folks!
Ciao
Debe

mercoledì 3 aprile 2013

Proxy NTLM e Linux

L'accesso a internet sul luogo di lavoro avviene spesso con un proxy Microsoft con autenticazione di dominio. Purtroppo i vari programmi del pinguino di uso quotidiano (si pensi ad esempio a wget) non ne conoscono il protocollo proprietario (NTLM). Ci viene quindi in aiuto il software cntlm che altro non è che un proxy il cui unico compito è veicolare le richieste, intervenendo solo nel momento della autenticazione.

INSTALLAZIONE SU CENTOS

Fortunatamente il simpatico tool è già pacchettizzato in rpm. Basterà quindi scaricarlo e installarlo sulla nostra distro con il comando (da root):
[root@AutmTest Desktop]# rpm -ivh cntlm-0.92.3-1.x86_64.rpm


CONFIGURAZIONE

Ovviamente prima di utilizzarlo è necessario configurare le nostre credenziali e il proxy al quale collegarsi.
Apriamo quindi con il nostro editor di fiducia il file /etc/cntlm.conf e impostiamo i seguenti parametri base
Username mioutente
Domain dominio
#Password non impostare (si useranno gli hash)
Proxy ip:porta del proxy
Listen la porta di ascolto del proxy http
Gateway yes se si vuole che sia raggiungibile anche da altri ip della rete
Non abbiamo impostato la password perché sarebbe in chiaro. E' meglio utilizzare gli hash che introducono un livello di sicurezza in più (essendo determinati da l'unione di user, dominio, host e password).
Lanciamo quindi il comando:
[root@AutmTest Desktop]# cntlm -c /etc/cntlm.conf -I -M http://www.google.com
Password:
Config profile 1/11... OK (HTTP code: 200)
----------------------------[ Profile 0 ]------
Auth NTLMv2
PassNTLMv2 782589B6EB85EDCD5C93020F604CE2AA
------------------------------------------------ 
copiamo le righe del profilo individuato e inseriamole nel file di configurazione.


PRONTI PARTENZA VIA!

Fatto ciò siamo pronti a partire. Possiamo lanciare il servizio (da root)
[root@AutmTest Desktop]# /etc/init.d/cntlmd start
e impostare l'applicazione per connettersi con il proxy via http.
Se ci fossero dei problemi è sempre possibile vedere il log delle operazioni lanciando da console
[root@AutmTest Desktop]# cntlm -v -f
In tal modo il software si mette in esecuzione in foreground e mostra il log delle operazioni.


Ciao a tutti.
Debe