- PVSM.RU - https://www.pvsm.ru -
Сразу оговорюсь: подробных инструкций/конфигураций не предоставляю, просто делюсь мыслями как можно сделать. Так же, под FTP подразумеваю не только классический FTP, но также SFTP и SSL-FTP – это статья про безопасность паролей, а не протокола как такового.
Представьте
Сложного ничего нет, надо просто внедрить на сервере один или несколько вариантов подключаемых модулей аутентификации со вторым фактором (например code.google.com/p/google-authenticator/wiki/PamModuleInstructions [2] или motp.sourceforge.net/#6 [3] ) и привязать к ним пользователей.
В большинстве случаев, PAM можно указать и в конфигурации FTP серверов, и принципе проблема безопасности FTP будет решена таким же образом.
Проблема в другом; дело в том, что в зависимости от скорости соединения, настроек сервера/роутера или режима FTP соединения FTP сессия может прерываться при отсутствии активности в течение определённого времени (или даже просто прерываться в самый неподходящий момент). В «классическом» FTP клиент просто подключится еще раз, надо просто поставить галочку «сохранить пароль». В случае же двух факторной аутентификации это не сработает, придется вводить пароль и код с «токена» довольно часто, а это для конечного пользователя очень неудобно. Если как то можно убедить пользователя в необходимости использования «токена» при входе в систему, объяснить необходимость делать это в процессе загрузки файлов по несколько раз уже сложно.
Проблему, я надеюсь, объяснил. Теперь поделюсь идеей повышения удобства для конечных пользователей.
На самом деле, сам принцип не оригинален, я предлагаю сделать, что то вроде паролей приложений [4] используемых для учетных записей Google с активированной двухэтапной аутентификацией.
Для этого нужно подобие веб-интерфейса для генерации паролей приложений. Сам веб-интерфейс будет доступен только с использованием двухфакторной аутентификации. После входа в систему, пользователь будет генерировать FTP пароль, который будет активен только в течение определённого времени и только для определённого IP адреса (по умолчанию будет предлагаться текущий адрес). Приблизительный интерфейс может выглядеть вот так:
При генерации скрипт заносит данные в таблицу базы данных (например, MySQL), а именно имя пользователя, IP адрес и timestamp указанного пользователем времени, а также сгенерированный FTP пароль, который и показывается пользователю в интерфейсе. Для доступа по FTP будет использоваться именно этот временный пароль. Таблица будет выглядеть вот так:
В качестве примера возьмём PureFTPD, благо его можно привязать к MySQL. Руководствуясь инструкциями [5] настраиваем PureFTPD таким образом:
MYSQLSocket /tmp/mysql.sock
MYSQLUser root
MYSQLPassword rootpw
MYSQLDatabase pureftpd
MYSQLCrypt cleartext
MYSQLGetPW SELECT temp_password FROM temp_pass WHERE username="L" AND IP="R" AND expires <= UNIX_TIMESTAMP()
MYSQLGetUID SELECT Uid FROM users WHERE User="L"
MYSQLGetGID SELECT Gid FROM users WHERE User="L"
MYSQLGetDir SELECT Dir FROM users WHERE User="L"
В конфигурационном файле используются переменные
L — логин юзера
R — IP адреc клиент
Вот в принципе и все. В идеале еще надо бы какой-нибудь крон скрипт для очистки таблицы от истекших паролей.
Автор: EminH
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/linux/50164
Ссылки в тексте:
[1] хостинг: https://www.reg.ru/?rlink=reflink-717
[2] code.google.com/p/google-authenticator/wiki/PamModuleInstructions: http://code.google.com/p/google-authenticator/wiki/PamModuleInstructions
[3] motp.sourceforge.net/#6: http://motp.sourceforge.net/#6
[4] паролей приложений : https://support.google.com/accounts/answer/185833?hl=ru
[5] инструкциями : http://download.pureftpd.org/pure-ftpd/doc/README.MySQL
[6] Источник: http://habrahabr.ru/post/205152/
Нажмите здесь для печати.