[Tuto] PAM: OneTimePassword et USB authentication
One Time Password
OTP est une sécurité assez élevé, facile à mettre en place, difficile à tenir, difficile à y rester, mais indispensable pour accroitre le niveau de sécurité d'un système informatique.
La principe est le suivant:
Un système a des utilisateurs, l'un d'entre eux est appellé le "root", c'est l'utilisateur supprème, qui a tous les pouvoirs.
Les pouvoirs délimitent les actions que peuvent effectuer les utilisateurs, étant donné que "root" est suprème, il peut tout faire.
Il convient donc de sécurisé son mot de passe.
C'est là que OTP intervient.
OTP est un module PAM (gestion des authentifications d'un système Linux).
Nous allons généré 100 mots de passe à usage unique.Nous allons imprimer la liste.Et à chaque fois que l'on veut utiliser le système avec le compte "root", il nous sera demandé le mot de passe X (où X est un chiffre aléatoire entre 1 et 100, exclusion faîtes des mots de passe déjà utilisés).
Je vous ai embrouillé?
Bon je vais essayer le refaire en mieux.
- On génére une liste de X mots de passe (on peut choisir la taille des mots de passe),
- On imprime la liste (ça ne sert à rien si elle est dans un fichier sur le système!),
- On affiche la liste sur le mur à côté du serveur (de toutes façons, si il y a un accès physique, votre serveur est mort, j'y reviendrai sur un prochain dossier),
exemple de liste:
| 1: azèd_fçà) | 4: wxcmp(l6 | 7: 1Gf9;LwS |
| 2: kè(jn;"p | 5: dfn-(k&s | 8: K5Jd,7l: |
| 3: sdkpl"-6 | 6: !ald;-01 | 9: Wtk,'8àQ |
Dès lors, quand on va vouloir utiliser le compte "root", il va se passer ceci:
Avant la fin de la liste, un rappel sera diffusé à "root" pour lui rappeller qu'il reste peu de mots de passe et qu'il faut générer une nouvelle liste.
Je pense que ça va mieux pour tout le monde!
Aller, on passe à la pratique!