Корень / Программы для администратора / Безопасность / Аутентификация, PAM, SSH

libssh - working SSH implementation by the mean of a library (Версия: 0.5.2 от 2011-09-18) [+] [обсудить]   Библиотека, предназначенная для интеграции поддержки SSH в программы на языке Си. Позволяет выполнять программы на удаленном сервере, копировать файлы через защищенное соединение, при этом поддерживается как стандартный scp механизм, так и поддержка sftp, которая реализована без задействования внешних библиотек, таких как libcrypto (из OpenSSL) или libgcrypt. libssh реализует серверные и клиентские функции, поддерживает протоколы SSH1 и SSH2, режимы шифрования AES-128, AES-192, AES-256, Blowfish, 3DES в CBC, возможность работы с серверами публичных ключей RSA и DSS, поддерживает сжатие данных, работу совместно с ssh-agent и организацию работы нескольких сеансов в рамках одного соединения. Исходные тексты библиотеки насчитывают более 17 тыс. строк кода и распространяются под лицензией LGPL. Отсутствие зависимостей от внешних приложений и библиотек, позволяет использовать libssh для встраиваемых устройств. Из программ, использующих libssh можно отметить утилиту для двухсторонней синхронизации файлов csync.   autossh - Automatically restart SSH sessions and tunnels [+] [обсудить]   Программа для автоматического восстановления SSH сессий и туннелей после обрыва соединения.   shimmer - alternative to port knocking program [+] [обсудить]   Реализован интересный способ повышения безопасности системных сетевых сервисов, таких как SSH или telnet. Суть метода в том, что система начинает принимать соединения для заданного сервиса не по одному порту, а по группе сетевых портов, причём номер рабочего порта меняется каждую минуту и определяется в соответствии с определённым колючем, известным только уполномоченным на использование сервиса лицам. Остальные порты выступают в в роли "honeypot" пустышек, постоянно выдающих ошибку аутентификации.   pam_abl - PAM module that provides auto blacklisting [+] [обсудить]   PAM модуль для автодобавления хоста в черный список после серии неудачных запросов аутентификации. Может использоваться для защиты от атак направленных на подбор пароля.   hostapd - daemon for access point and authentication servers [+] [обсудить]   Демон обеспечивающий поддержку механизмов аутентификации IEEE 802.11 AP, IEEE 802.1X/WPA/WPA2/EAP/RADIUS для создания беспроводных точек доступа.   S/key, OPIE - One-time Passwords [+] [обсудить]   Системы аутентификации по одноразовым паролям, т.е. генерируется набор паролей, каждый из которых можно использовать только один раз. Обычно используют для входа из недоверительной среды, в которой пароль могут подсмотреть. До версии FreeBSD 5 в комплект входила система S/key (основанная на MD4), а начиная с версии 5.0 - OPIE (MD5). OTPW - реализация программы login, PAM модуль и библиотека для адаптации любой программы для работы с S/key или OPIE; Про работу с OPIE можно прочитать здесь и здесь.   pam_usb - PAM module that enables authentication using a USB in Linux (Версия: 0.5.0 от 2011-04-22) [+] [обсудить]   PAM модуль для аутентификации по DSA ключу, хранимому на съемном USB Flash (возможно использование CDROM). Например, можно обеспечить вход в сеть выдав каждому пользователю по Flash с ключом. Пользователь садится за машину, вставляет Flash и работает без ввода пароля.   HPN-SSH - High Performance SSH/SCP [+] [обсудить]   Патчи к OpenSSH, устраняющие ряд узких мест в механизме буферизации, как в серверной, так и в клиентской части, что позволяет значительно (примерно в 10 раз) увеличить скорость пересылки большого объема данных (как при использовании не пропатченного ssh/scp клиента с пропатченным ssh сервером, так и при связке пропатченный клиент - не пропатченный сервер). Для организации сверхскоростной передачи данных доступен дополнительный патч, позволяющий передавать данные без шифрования, при этом этап аутентификации шифруется.   pgsql_auth - Authentication helper for SQUID [+] [есть мнение]   Модуль аутентификации пользователей для SQUID. База пользователей SQUID лежит в PostgreSQL. Кроме имени и пароля проверяется поле "state" и если не равно 0, то аутентификация не проходит.   pam_chroot - Linux-PAM module that allows a user to be chrooted (Версия: 0.9.2 от 2007-10-02) [+] [обсудить]   PAM модуль, позволяющий организовать запуск программ для определенного пользователя или группы в chroot окружении. Может использоваться совместно с типами auth, account и session. Поддерживает опции конфигурирования (могут быть заданы в отдельном файле конфигурации): regex маски, задание директории для помещения в chroot для каждого пользователя/группы в отдельности.   Corkscrew - tool for tunneling SSH through HTTP proxies [+] [обсудить]   Утилита для проброса SSH соединения через HTTP прокси, например, squid или mod_proxy.   PuTTY - A Free Telnet/SSH Client (Версия: 0.63 от 2013-09-05) [+] [есть мнение]   Один из лучших Telnet, SSH и Rlogin клиентов для Win32, первоначально разработанный для удаленной работы на Unix серверах с Windows машин. позже, был портирован под Unix.   scponly - limited shell for secure file transfers [+] [обсудить]   scponly позволяет организовать защищенное копирование файлов без возможности запуска программ и необходимости использования SSH/OpenSSH. Кроме того scponly поддерживает chroot в директорию пользователя и может принимать соединения от sftp клиентов.   Chroot в OpenSSH [+] [обсудить]   Подборка патчей для помещения избранных пользователей в chroot окружение с входом через SSH: Патч для помещения пользователей в chroot, при обнаружении маски "/./" в имени домашнего каталога в /etc/passwd (старая версия); Патч для FreeBSD, помещает в chroot или jail по логину или группе; Патч для помещения избранных пользователей в chroot (openssh-3.5p1). Добавляет директивы ChrootDir, ChrootAll, ChrootUsers, NoChrootUsers; Патч sftp-server для запрещения выхода за рамки домашнего каталога. SSHjail - патч к OpenSSH, для помещения избранных пользователей в различные chroot окружения. Настройки хранятся в /etc/sshjail.conf. chroot+sftp hack - делает chroot при соединении по SFTP, если в пути к домашней директории пользователя указано /./;   GSASL - implementation of the Simple Authentication and Security Layer framework (Версия: 0.2.1 от 2004-11-20) [+] [обсудить]   GNU реализация SASL метода шифрования/аутентификации, широко используемая совместно с SMTP, POP3 и IMAP. Cyrus-sasl - наиболее популярная SASL реализация.   Dropbear SSH Server (Версия: 2013.56 от 2013-03-29) [+] [обсудить]   Нацеленный на использования во встраиваемых системах SSH сервер (очень небольшие требования к объему памяти и небольшой размер кода), поддерживающий протокол SSH 2. К сожалению, с точки зрения безопасности Dropbear SSH не лучше OpenSSH, так как часть кода заимствована.   GnuTLS - GNU Transport Layer Security Library (Версия: 1.0.22 от 2004-11-08) [+] [обсудить]   Библиотека реализует поддержку протоколов шифрования передаваемых данных TLS 1.0-1.2 и SSL 3.0, хешей SHA-256/384/512, блочного шифра Camellia (RFC 4132), аутентификации через SRP, X.509 сертификаты или OpenPGP ключи. Поддерживаются расширения: TLS/PSK (Pre-Shared-Keys), TLS/IA (Inner Applicatio), проксирование X.509 сертификатов. Базовая библиотека распространяется в рамках лицензии GPLv2.1 или более новой, а экстра-модули (поддержка TLS/IA, LZO сжатия, обработчик FIPS-режима в Libgcrypt, библиотека для обеспечения совместимости с OpenSSL, тестовый комплект и набор утилит командной строки) - под лицензией GPLv3.   SHFS - SHell FileSystem Linux kernel module (Версия: 0.35 от 2004-06-05) [+] [обсудить]   Модуль для Linux kernel 2.4.x позволяющий монтировать директории с удаленной машины используя SSH или RSH соединение.   sec_rpc - Проброс NFS через SSH туннель [+] [обсудить]   sec_rpc доступен для Linux, HPUX, FreeBSD и Solaris. Позволяет организовать SNFS (Secure NFS, v2 и v3) путем проброса через SSH2 туннель.   mod_auth_pgsql - allows user authentication and log in PostgreSQL (Версия: 0.9.12 от 2002-01-13) [+] [обсудить]   Модуль для авторизации пользователей в Apache через PostgrSql базу. Параметры соединения с базой, таблица и поля с логином и паролем определяются в файле конфигурации, имеется возможнось записи информации о входах пользователей в специальную таблицу.   mod_auth_radius - RADIUS authentication module for Apache [+] [обсудить]   Модуль для авторизации пользователей в Apache через удаленный Radius сервер.   pam_watch is a PAM module that controls all input and output of the user session and allows external connection to it using fifos. [+] [обсудить]   pam модуль для слежения за работой пользователя в консоли.   getpg - provide for authentication against "virtual" user accounts stored in a PostgreSQL database [+] [обсудить]   Система для создания виртуальных хостов путем организации авторизации пользователей через базу хранимую в PostgreSQL. В настоящее время написаны блоки авторизации через PostgreSQL для UW-IMAP, qmail, существуют PAM и NSS модули.   Tac_bsd - login system used to authenticate users from a TACACS server [+] [обсудить]   Замена программы login для авторизации через TACACS сервер.   authpgsql (nss_postgresql и pam_postgresql) - authorization modules for the NSS and PAM systems. (доп. ссылка 1) [+] [обсудить]   PAM модули для авторизации в PostgreSQL. См. также модуль pam-pgsql.   MySQL for qmail (Версия: 5.1.51 от 2010-10-07) [+] MySQL+proftpd [+] MySQL+WU-FTPD - Authentication & Logging functions (доп. ссылка 1) [+] MySQL+WU-IMAP (доп. ссылка 1) [+] Ascend Radius + MySQL (Версия: 0.9.5.116 от 2008-10-08) [+] PostgreSQL + qmail (Версия: 9.1.0 от 2011-09-13) [+] getpg - functions to allow UW-IMAP to authenticate users against a PostgreSQL database [+] [обсудить]   Модули для авторизации во внешней базе пользователей.   Experimental Authentication and Authorization Token Management Extensions in the FreeBSD Kernel [+] [обсудить]   MIT Kerberos V5. (Версия: 1.12.1 от 2014-03-12) [+] [обсудить]   Классическая Kerberos реализация от MIT, имеет ограничения по использованию в некоторых странах за пределами США. Более популярной, совместимой с MIT и функциональной реализацией Kerberos 5 является Heimdal (в комплект входит набор клиентских и серверных программ, таких как rsh, telnet, popper, login и т.д.). Суть Kerberos - в наличии централизованного сервера аутентификации (AS) (и, опционально, кеширующих, подчиненных, серверов), и определенного числа хостов и пользователей, привязанных к AS и объединенных в группы. Пользователь проходит аутентификацию (вводит пароль) только при первом входе, затем ему выдается "билет" (TGT - ticket-granting ticket), по которому он может получать доступ на всех машинах входящих в группу. Причем "билет" прозрачно мигрирует от машины к машине вслед за пользователем. Для передачи содержимого сеансов может использоваться шифрование, для каждого сеанса генерируется единоразовый сессионный ключ. Другие реализации и приложения: GNU Shishi - не совсем завершенная Kerberos 5 реализация от проекта GNU, в комплект входят клиенты и серверы для IMAP, SSH, rsh/rlogin, PAM модуль. KTH Kerberos - реализация Kerberos 4 основанная на eBones, в планах поддержка Kerberos v5. pam_krb5 - PAM модуль для Kerberos v5. mod_auth_kerb - модуль для аутентификации в Kerberos для Apache;   OpenSSH - свободная версия SSH (Поддерживается разработчиками OpenBSD, совместима с протоколами SSH 1.3, 1.5, 2) (Версия: 3.8.1p1 от 2004-04-20) [+] psst - free implementations of the SSH protocol (обзор существующих ssh1/2 серверов/клиентов) [+] lsh - GPL реализация протокола SSH2 (Версия: 1.4.1 от 2002-06-27) [+] SSH - Secure Shell. (Версия: 3.1.0 от 2001-12-15) [+] [обсудить]   Очень надежная замена программам rlogin, rsh, rcp и rdist. Создает шифрованное соединение между хостами. Если вы еще не используйте SSH, то поторопитесь.   postfix+pam - Patch to add PAM lookup table to Postfix. [+] [обсудить]   Патч реализующий поддержку проверки наличия пользователя, на начальном этапе почтовой сессии, через PAM для postfix.