OPIE č un package che permette di implementare le One Time Password mettendo a disposizione librerie e nuovi binari per eseguire il login ed un FTP daemon.
Attualmente sono disponibili anche due patch per implemetare OPIE con ncftp (client FTP) e imap2000b.
Il sito ufficiale č molto scarno ma tutte le informazioni utili per l'installazione e l'implementazioni di OPIE sono contenute nei sorgenti.
Download e scompattazione dei sorgenti
[root@GIOVE src]# wget
http://www.cl.cam.ac.uk/~mgk25/download/otpw-1.0.tar.gz
[...]
[root@GIOVE src]# tar zxvf opie-2.4.tar.gz
[...]
Lancio di configure. Per verificare le opzioni disponibili lanciare il comando ./configure --help
[root@GIOVE src]# cd opie-2.4
[root@GIOVE opie-2.4]# ./configure --prefix=/usr --enable-insecure-override
[...]
Compilazione Sorgenti e installazione
[root@GIOVE opie-2.4]# make
[root@GIOVE opie-2.4]# make install
Abilitazione dell'utente root nell'uso di OPIE e calcolo delle nuove password
[root@GIOVE opie-2.4]# opiepasswd
Adding root:
You need the response from an OTP generator.
New secret pass phrase:
otp-md5 499 GI5005
Response:
Prima di procedere occorre lanciare in una nuova shell l'OTP generator e copiare il risultato nella shell precedente. Nella nuova shell lanciare il comando suggerito dall'output di opiepasswd:
[root@GIOVE opie-2.4]# otp-md5 499 GI5005
Using the MD5 algorithm to compute response.
Reminder: Don't use opiekey from telnet or dial-in sessions.
Sorry, but you don't seem to be on the console or a secure terminal.
Warning: Continuing could disclose your secret pass phrase to an attacker!
Enter secret pass phrase:
CURB WRY JOKE WEIR DANK WHOA
Copiare il risultato e inserirlo nella shell precedente:
root@GIOVE opie-2.4]# opiepasswd
Adding root:
You need the response from an OTP generator.
New secret pass phrase:
otp-md5 499 GI5005
Response: CURB WRY JOKE WEIR DANK WHOA
ID root OTP key is 499 GI5005
CURB WRY JOKE WEIR DANK WHOA
Tramite il comando opieinfo č possibile visualizzare il seed e informazioni riguardanti la chiave, informazioni indispensabili per visualizzare l'elenco delle password attive
[root@GIOVE root]# opieinfo
498 GI5005
Per visualizzare l'elenco delle password lanciare i seguenti comandi.
[root@GIOVE root]# opiekey -5 -n 25 498 GI5005
Using the MD5 algorithm to compute response.
Reminder: Don't use opiekey from telnet or dial-in sessions.
Sorry, but you don't seem to be on the console or a secure terminal.
Warning: Continuing could disclose your secret pass phrase to an attacker!
Enter secret pass phrase:
474: REB BERN BECK GAP NOT TUNE
475: REAM LOGE TILL YAWL LUCK AX
[...]
497: JOVE YET OAF BUM ODE FLAK
498: TURN RUDE MIST SWUM MILK RID
Ogni riga corrisponde ad una password. Al prompt di login una volta inserita il nome utente verrā visualizzata una riga simile:otp-md5 497 GI5005 ext, ove il primo numero corrisponde alla password da inserire:
[neo@dido neo]$ telnet giove
Trying giove...
Connected to giove
Escape character is '^]'.
Red Hat Linux release 8.0 (Psyche)
Kernel 2.4.18-14 on an i586
login: root
otp-md5 497 GI5005 ext
Response: JOVE YET OAF BUM ODE FLAK
[root@GIOVE root]#
Disabilita OPIE per l'utente root
[root@GIOVE root]# opiepasswd -d
Updating root:
Disable root's OTP access? (yes or no) yes
ID root is disabled.