Журнал Витуса. Голосов: 2 Адрес блога: http://vitus-wagner.livejournal.com/ Добавлен: 2008-02-19 12:48:41 блограйдером Lurk

OpenSSH и eToken

2015-07-02 12:58:03 (читать в оригинале)

Попробовал воспользоваться выданным на работе eToken для доступа на линукс-машину по ssh.

Естественно, на машине, куда я втыкал токен, уже установлен Safenet Authentication Client, родной софт от производителя токена, который содержит PKCS11-модуль libeTPkcs11.so. С его помощью можно использовать этот токен в firefox-е и еще много где, причем с ключами и сертификатами, созданными виндовым софтом.
Интерес представляло, насколько хорошо поддержка pkcs11 интегрирована в OpenSSH.

Наибольшую сложность составило почему-то преобразование открытого ключа, извлеченного из сертификата средствами OpenSSL в формат openssh-вого identity.pub. Команда

ssh-keygen -i -m pem -f filename.pem

злобно ругается на нераспознаваемый формат.

Это потому что, openssl полностью перешла на PKCS8 форматы а под pem в опции -m ssh-keygen понимается старый формат.

Правильная команда выглядит как

openssl x509 -in fromtoken.crt -noout -pubkey >filename.pem
ssh-keygen -i -m PKCS8 -f filename.pem

Получить старый формат средствами OpenSSL можно, Для этого в команде rsa есть ключик -RSAPublicKey_out
Можно взять ключик, выдрранный командой x509 (выше) из сертификата и сконвертировать.

Сертификат из токена достается командой:

pkcs11-tool --module libeTPkcs11.so --type cert --id <какой-там-у-вас-id> --read-object

Эта команда выдает сертификат в формате der на stdout, поэтому надо либо переназначить в файл, либо сразу направлять в openssl x509, не забыв ей сказать -inform DER.

Пин-кода чтение сертификата по очевидным причинам не спрашивает.

После того, как ключ получен и положен куда надо в authorized_keys дальше все просто:

Либо

ssh -I libeTPkcs11.so куда.надо

и мы попадаем на нужный хост, одноразово обратившись к токену.

Либо

ssh-add -s libeTPkcs11.so

и золотой ключик у вас в агенте. В обоих случаях, конечно PIN спросят.

Агент нормально переживает внезапное выдергивание токена. Правда, ключ в списке остается.
Что интересно, при попытке его удалить (командой

ssh-agent -e libeTPkcs11.so

спрашивают пассфразу.
При выдернутом токене.

Поиграться что-ли еще с pam-pkcs11?

Там интересно - предоставляются разные способы мэппинга информации из сертификата на карте в юзернеймы, что полезно в моём случае, поскольку юзернеймы на машине куда ходить и информация помещаемая в сертификат, контролиуются разными людьми. Сертификат - сисадмином конторы, а машина - мной.

Кроме того, в состав pkcs11 входит pkcs11_eventmgr, который позволяет, например, лочить экран при выдергивании токена. Интересно, удастся ли сделать так, чтобы ssh-agent при выдергивании токена "забывал" пассфразу от него, но когда после вставления токена она вводится в screensaver, получал бы ее оттуда средствами pam.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1103668.html. Please comment there using OpenID. Now there are comments

---

К вопросу о кроссплатформности

2015-06-29 23:51:11 (читать в оригинале)

Погонял сегодня ctypescrypto на разных платформах (после того как мне отрепортили баг, что на MacOS у меня динамическая библиотека неправильно ищется)

Под Windows пришлось поправить 1 тест. Любимая моя привычка - создавать временный файл и не закрывать. А потом удивляться - а что это на некторых платформах его по второму разу открыть не могут.

Под linx/armhf - ну даже не интересно.

Под pypy - работает. Сходу.

Под python3 - ожидаемо не работает. Для модуля который активно работает как с байтами, так и с юникодом, это неудивительно. Вопрос в том, а можно ли принципиально сделать этот модуль таким, чтобы был совместим с обоими версиями. По-моему нет.
Потому что полно объектов, у которых определены методы __str__ и __unicode__, которые должны быть переименованы, соответственно, в __bytes__ и __str__

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1103559.html. Please comment there using OpenID. Now there are comments

---

Беда, коль сапоги начнет тачать пирожник

2015-06-29 13:25:31 (читать в оригинале)

Тут вот в процессе очередного обсуждения поделий Поттеринга пришла в голову мысль, что все эти новвоведения из области "компьютер должен за вас сам подумать", возникают из-за того, что люди не делают хорошо своё дело, и за ними вынуждены доделывать другие люди, для которых это дело не свое.

Сисадмин пишет 800-строчный скрипт, дабы он запускал кривой и глючный сервис, то есть выполняет работу, которую по хорошему счету должен был бы выполнять разработчик сервиса.

В результате, у сисадмина нету времени на выполнение своих прямых обязанностей, например настройку связки DHCP+DNS (а что там настраивать? У меня в dd-wrt само работает) чтобы в локальном dns автоматически прописывались имена тех машин, которые к этой сети подключаются.

Поэтому юзеры начинают мечтать о наличии WINS, avahi и прочих протоколов, которые позволят устройствам узнать что-то друг про друга в обход центрального пункта сети, находящегося под контролем сисадмина. Хотя вот проводить в жинь принятую в данной сети политику доступа (устройств друг к другу) - это прямая задача сисадмина.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1103184.html. Please comment there using OpenID. Now there are comments

---

Так говорил Заратуштра

2015-06-28 13:46:47 (читать в оригинале)

Пишут, что курды массово переходят в зороастризм. Поскольку ислам у них стараниями не только ИГИЛ, но и турецкого правительства все больше и больше ассоциируется с насилием, несвободой и иррациональной слепой верой.

А зороастризм оказывается привлекательными именно для рациональных и желающих свободы и равноправия. (возможно, конечно, это не настоящий зороастризм, а специально реформированный для современных условий).

Вообще бы стоило в Европе тоже что-нибудь такое замутить. Вот только что больше соответствует историческим корням современной технической цивилизации?

Культ олимпийских богов (Марса, Вакха и Венеры), которые были сильно популярны в эпоху промышленной революции и Просвещения?

Скандинавское язычество?

Митраизм?

Полинезийский культ Атеа (который на одних островах он, а на других - она)?

Ну в общем что-нибудь, что не происходит из сказаний маленького кочевого народ в восточном Средиземноморье.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1103088.html. Please comment there using OpenID. Now there are comments

---

Управление энергопитанием

2015-06-28 11:18:48 (читать в оригинале)

Оторвал, наконец у своего ноутбука привычку уходить в suspend при закрытии крышки.

Которая появилась при апгрейде на jessie.

Оказалось, что за переход в саспенд при закрытии крышки теперь ответствененен logind.

Раньше это отрывалось на уровне acpi-support.

Нет, все-таки Поттеринга зря не довелит до самоубийства.

Сорок лет не было в unix'е logind. Был login который делал ровно одну вещь -
проверял имя и пароль и запускал то, что для этого имени в /etc/passwd написано. exec-ом.

А теперь завели хрень, которая что-то явно лишнее, и не относящееся к этой задаче делает - реагирует на кнопку питания, закрытие крышки etc.

Нет, я понимаю, что та концепция сессии, которую придумали 40 лет назад для PDP-8 с последовательными терминалами, устарела и её надо менять.

Но то что придумал Поттеринг всем хуже. Оно блин, похоже на того азимовского робота который не мог перемещаться. если у него на плечах не сидел человек. По соображениям безопасности. То есть типа sshd у меня на ноутбуке быть не может.

Понятно, что он не сам это придумиал, он это то ли с MacOS, то ли с андроида слизал.
Но вообще ублюдков. которые притащили в linux из эппловского мира avahi, хочется поубивать с еще большей жестокостью, чем Поттеринга.

This entry was originally posted at http://vitus-wagner.dreamwidth.org/1102651.html. Please comment there using OpenID. Now there are comments