勉強会向けサーバを作ってみる 2Rasbian jessie を試す

Google Authenticator のパスコードを作る

KenichiroMATOHARA(matoken)<matoken@kagolug.org>

鹿児島 Linux 勉強会 2015.11 ( 第 11 回 ) 20151113( 金 )

2

Kenichiro MATOHARA

@matoken

http://matoken.org/

興味

Linux

FLOSS

OpenSteetMap

電子工作

：

お仕事募集中 !

3

最近

猫に埋もれた生活

猫アタック !

NotePC 基板半死亡 (3G/Wi-Fi 死亡 )

NotePC 液晶 x2 死亡

5

鹿児島らぐ / 鹿児島 Linux 勉強会

今回で 12 回目

前回は 2 月 3 4 5 6 7 8 9 10 11……9 ヶ月ぶり orz

もし集まりたいといった場合には ML 等で告知して勝手に開催して

も OK

matohara も出来ることは手伝います !

6

勉強会向けサーバを作ってみる 2- 端末の共有をブラウザベースでお手軽に -

7

端末の共有

前回 →

http://www.slideshare.net/matoken/ss-51975843

GNU Screen/Tmux 等

ー＞リモートログインが面倒

GoTTY( https://github.com/yudai/gotty )ウェブブラウザ経由で端末が共有できる

ー＞お手軽

8

GoTTY の導入

go の導入

% sudo apt install golang

go get で GoTTY の導入 (~/usr/local/go 以下に導入 )

GOPATH=~/usr/local/go go get github.com/yudai/gotty

9

GoTTY の利用例

% ~/usr/local/go/bin/gotty top

2015/11/13 06:26:33 Permitting clients to write input to the PTY.

2015/11/13 06:26:33 Server is starting with command: tmux new -A -s gotty

2015/11/13 06:26:33 URL: http://127.0.0.1:8080/

2015/11/13 06:26:33 URL: http://[::1]:8080/

2015/11/13 06:26:33 URL: http://[fe80::a27e:a3b8:cfa7:22a6]:8080/

2015/11/13 06:26:33 URL: http://192.168.2.217:8080/

2015/11/13 06:26:33 URL: http://[fe80::85e0:9218:1854:8531]:8080/

この状態で URL: 〜 にブラウザでアクセスすると top コマンドが実行されるのが確認できる

10

11

$ gotty bash のようにすると bash が起動するが操作できない

--permit-write, -w オプションを利用することで書き込みが可能になる

$ gotty -w bash

しかし複数のブラウザでアクセスするとそれぞれ別のセッションになってしまう．みんなでひとつの端末を叩きたい……

2015/08/23 14:47:42 Server is starting with command: bash

2015/08/23 14:47:46 New client connected: 127.0.0.1:36194

2015/08/23 14:47:46 Command is running for client 127.0.0.1:36194 with PID 28469

2015/08/23 14:48:56 New client connected: 127.0.0.1:36208

2015/08/23 14:48:56 Command is running for client 127.0.0.1:36208 with PID 29315

12

GoTTY

bash1

bash3

bash2

13

GoTTY bash

みんなで 1 つの端末を利用したい

14

マルチユーザのセッションを

README.md に以下のような記述が，tmux を利用すると行けるらしい

Sharing with Multiple Clients

Gotty starts a new process when a new client connects to the server. This means users cannot share a single terminal with others by default. However, you can use terminal multiplexers for sharing a single process with multiple clients.

For example, you can start a new tmux session named gotty with top command by the command below.

$ gotty tmux new -A -s gotty top

This command doesn't allow clients to send keystrokes, however, you can attach the session from your local terminal and run operations like switching the mode of the top command. To connect to the tmux session from your terminal, you can use following command.

$ tmux new -A -s gotty

By using terminal multiplexers, you can have the control of your terminal and allow clients to just see your screen.

15

tmux の 1 つのセッションをみんなで叩く

$ gotty -w tmux new -A -s gotty

-w : 入力可能

tmux new -A -s gotty : gotty というセッション名で tmux を起動

GNU Screen でも出来ないかとセッション名を同じように

gotty にして multiuser on にしてみましたがこれだけでは

うまく行きませんでした． GoTTY 本体に手を入れる必要があるかもしれません．

16

midori

Chromium

Android 版 Chrome

17

プロジェクタで画面を映してみんなでひとつの端末を叩くことが出来るようになる

勉強会とかで重宝しそう

セキュリティは BASIC 認証やランダム URL ， SSL 化などが可

能だけど jail 環境で必要なときだけ立ち上げてセッションごとに初期化するといった運用が良さそう

18

Rasbian jessie!

19

Rasbian?

Debian ベースの Rasberry Pi 用 OS

"FrontPage - Raspbian" http://www.raspbian.org/

20

jessie?

21

Raspberry Pi リリース時から wheezy ベースの Rasbian だった

( 当時は確か testing)

Debian jessie のリリースは 2015 年 04 月 25 日

Rasbian jessie は 2015 年 09 月 25 日リリース (https://downloads.raspberrypi.org/raspbian/release_notes.txt)

現在は Rasbian wheezy/jessie ともにサポート中

Debian jessie は ARMv6 はサポート外だけど Rasbian jessieは ARMv6 の Raspberry Pi(B/B+/A/A+) でも動作する !

未だ Rasbian jessie の事例は少ないので Rasbperry Pi 特有の

事柄は wheezy の方が良いことも

22

Rasbian jessie を試す

導入

wheezy と一緒

ダウンロードして hash を確認して SD Card に書き込む

@ebijun Raspberry Pi の OS 導入手順はみんな知っているので試してもらいやすい

"NetBSD/RPI.rst at master · ebijun/NetBSD"https://github.com/ebijun/NetBSD/blob/master/Guide/RPI.rst

23

気づいたこと

raspi-config GUI 版が登場 ( rc_gui )

いきなり X が起動して自動ログインしてる

コンソールも自動ログインしている

GUI でネットワーク設定を行うと /etc/network/interfaces, /etc/wpa_supplicant/wpa_supplicant.conf などが書き換わ

る ( LXPanel )

一度 GUI で設定しちゃえば X を使わない時でも Wi-Fi に繋がるので便利

（もしかして以前から ? ）

avahi が導入済み & 自動起動

raspberrypi.local という名前で呼べる

dhcp 環境で便利

24

rc_gui

25

LXPanel のネットワーク設定

パスフレーズが平文のままなので注意

psk="hogefuga”

wpa_passphrase でパスフレーズを暗号化して置き換えたほうが心持ち安心

$ wpa_passphrase ssid passphrase

network={

ssid="ssid"

#psk="hogefiga"

psk=a0c528edbaacde16d49e3788d341286a333cb66417

30d5d9d77fae06dad1f1b6

}

26

Google Authenticator のパスコードをお手軽に

27

多要素認証

ユーザ名 + パスワード

⇓

ユーザ名 + パスワード ＋ ワンタイムパスワード (OTP)

RFC 6238 で標準化されていて色々なサービスで利用できる

Google/AWS/GitHUB/Dropbox/Evernote/Facebook……

pam のライブラリもあるので自サーバの ssh でも利用できる !(libpam-google-authenticator)

OPT

OTP 生成器

スマホアプリケーション

電話

SMS

携帯メール

：

28

OTP 生成器 ( 液晶画面タイプ )

壊れたことがある

1 つに付き 1 アカウントなのでたくさん必要に

http://japan.emc.com/security/rsa-securid/rsa-securid-hardware-tokens.htmhttp://onlinenoram.gemalto.com/SafeNet-IDProve-100-6digit-OTP-Token/M/B002CRN5X8.htm

29

OTP USB タイプ

未検証

入力が必要無いのでお手軽そう

30

スマホアプリ

Android/iOS の他大抵のプラットホーム向けにある

"Google 認証システム - Google Play の Android アプリ " https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2"IIJ、ワンタイムパスワード管理アプリケーション「 IIJ SmartKey」を提供

開始 | 2015 年 | IIJ" http://www.iij.ad.jp/news/pressrelease/2015/0403.html

31

Google 認証システム Android 版を常用

めんどい

32

調べてみたら簡単に実装できた

#!/usr/bin/python

import hmac, base64, struct, hashlib, time, os, sys

def get_hotp_token(secret, intervals_no):

key = base64.b32decode(secret, True)

msg = struct.pack(">Q", intervals_no)

h = hmac.new(key, msg, hashlib.sha1).digest()

o = ord(h[19]) & 15

h = (struct.unpack(">I", h[o:o+4])[0] & 0x7fffffff) % 1000000

return h

def get_totp_token(secret):

return get_hotp_token(secret, intervals_no=int(time.time())//30)

if( len(sys.argv) > 1):

secret = sys.argv[1]

elif( os.path.exists( os.environ["HOME"] + "/.google_authenticator" )):

f = open( os.environ["HOME"] + "/.google_authenticator" )

secret = f.readline().replace('\n','')

else:

print sys.argv[0] + " SECRETKEY"

exit(-1)

#for i in xrange(1, 10):

# print i, get_hotp_token(secret, intervals_no=i)

print get_totp_token(secret)

https://gist.github.com/matoken/8159502c4a87dc3b0341

33

Android 版と比較

34

awesome wm でショートカットに設定してみた

ショートカットキーで OTP が表示される

今は SECRETKEY をファイルベタ書き

なので gnome-keyring か何かに格納

したい

35

% cat opt.sh

#!/bin/bash

while read line

do

echo $line

arr=( `echo $line | tr -s ',' ' '`)

echo ${arr[1]}.${arr[2]}

notify-send -t 10000 ${arr[1]} `~/script/google-authenticator.py ${arr[2]}`

done < ~/fuse/encfs/.2auths

% cat ~/fuse/encfs/.2auths

Google,6QHI5WW6H3FMJ2ZI

GitHUB,6QHI5WW6H3FMJ2ZI

micro,6QHI5WW6H3FMJ2ZI

ダミーです

36

SECRETKEY の入手

アカウント設定時に表示される場合はメモしておく

QR Code の場合は先に通常の読み取りアプリで読み込んでメモ

Android 版 Google 認証システム &root を使える場合は以下の手順で入手可能

"Android の Google Authenticator のデータをダンプしてバックアップ

する | matoken's meme" http://matoken.org/blog/blog/2015/10/10/i-want-to-back-up-by-dumping-the-data-of-google-authenticator-of-android/

37

マイコンでも実装できそう

AVR とかのマイコンで実装したら持ち歩きも出来そう

壊れても同じ SECRETKEY を流し込める

複数のサービスにも対応できる

紛失盗難時は耐タンパ性が問題かも ( すぐに変更すれば大丈夫 ?)

"Linux で avr 開発環境を構築する +mbed(20100612koedo94)" http://www.slideshare.net/matoken/linux-avrmbed20100612koedo94