下記のエントリの続編です。

ten-snapon.com

 

75 Users

37 Pockets

2020.01.30

SSHログイン時に公開鍵認証とGoogle OAuthで多要素認証する

https://ten-snapon.com/archives/2306

こんばんは。みなさんは在宅勤務が大好きですか？僕は大好きです。好きすぎるがゆえにこういったことも起きました。https://twitter.com/pyama86/status/1221643056299905024?s=20そうなると、いかに安全に踏み台サーバを構築するかということになるのですが、セキュリティにおいて多層防御の考え方は非常に大事です。一般的な踏み台サーバであればおそらくFromIPでの制御と、公開鍵認証での運用が多いのではないでしょうか。ペパボでは僕が開発運用しているSTNSを利用して、公開鍵認証でのログインを必須にしているかつ、IPでの制御も...

実装した内容を社のセキュリティ対策チームにレビュー依頼したところ、 @mrtc0と@hibomaからSSH接続時にProxyCommandを利用した場合に、踏み台サーバのForceCommandがスキップされる問題があるとの報告を受けたので、こればかりはどうしようもないのでPAMモジュールを書くことにした。

当初はCGOで書こうとしたのだけど、CGOだとgoroutine起動時の挙動が怪しくて、そのあたりを調べたりするコストが嵩んだので、GoogleAuthenticatorの実装を参考にしながら結局Cで書いた。

GitHub

 

3 Users

63 Pockets

google/google-authenticator-libpam

https://github.com/google/google-authenticator-libpam

Contribute to google/google-authenticator-libpam development by creating an account on GitHub.

使い方はREADMEの通りで、バイナリを諸々おいたあとに、SSHDのconfigに下記を書いたらいい。

KbdInteractiveAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive

意味合い的にはpublickey認証のあとに、keyboard-interactive認証でPAMを呼び出し、その中で、google-web-oauthコマンドを呼ぶPAMが使われる感じ。

これでProxyCommandを利用するときにもちゃんと認証されるようになるかな。

ここまで書いたから、暇なときにログインしたらSlackに通知したりできるようにするか、それはpam_execに任せるか悩ましいところ。