OTP install

OTP のインストール

使い捨てのパスワードを用いた telnet, ftp の導入. ただし, ftp サーバにはインストールしない.

  1. OTP 導入の意義: 利用者認証処理における問題点

    2. ログイン時やファイル転送時に利用される unix password による認証方法におい て, 自分 (local) の端末と login 先 (remote) の間の通信を 盗聴される可能性がある.

    それを回避する方法として

    がある.

    ssh や SSL を使うにはサーバとクライアントの両方に 暗号化のためのプログラムをインストールする必要がある. これに対して OTP は従来の telnet のパスワードを特別なものに 変えるだけなのでクライアントは従来の telnet クライアントだけでよい. 従って, 多種OSの数多くの機械からの接続をサポートすべき専攻サーバの場合, OTP を利用する必要がある.

  2. 準備

    3. 2.1 ソフトウェアの入手

    以下のソフトウェアを入手する.
    opie-2.32.tar.gz (1999/09/09 現在, OTP の最新版)

    入手先(ftp サイト)
    • US Naval Research Laboratory ; ftp://ftp.nrl.navy.mil/pub/security/opie/
    • 日本の official mirror site ; ftp://starbow.st.ryukoku.ac.jp/pub/security/tool/opie/

    注1: これらのサイトは, anonymous FTP のパスワードとして入力する電子 メールアドレスをチェックしているので, 不当なパスワードを送信する Microsoft Internet Explorer では FTP が使えないので unix machine から正規の方法により FTP を行うようにする.
    注2: ftp を行う前に“README” file を読んで, 最新のpackage version を 確認する.
    注3: Appendix-1 に今回調べた opie のSupported commands/Firewalls, version情報などを掲載する.
    注4: opie の Debian パッケージは login や ftpd を含んでいなかったため, 今回使用しなかった.

    2.2 確認作業

    以下のパッケージがインストールされているか確認する.
    • gcc (C コンパイラ)
    • bison (yacc の互換品)
    • make

  3. Install 作業手順

    4. 作業当事者 mondo1 さんのホームディレクトリに, opie-2.32.tar.gz をダウンロードしてきたものとする. そしてそのホームディレクトリ内で作業を行うものとする.

    アーカイブファイル opie-2.32.tar.gz を解凍する.
    $ cd ~mondo-r1
    $ tar zxvf opie-2.32.tar.gz
    $ cd opie-2.32

    INSTALL を読む.

    configure を実行する.
    $ sh configure --disable-insecure-override
    ssh 等を用いてネットワーク経由でログインしている時にも パスフレーズの設定ができるようにオプションを付けた.

    Opie のコンパイル, インストール
    $ make
    # make install

  4. 参考文献

    5. One Time Password
    http://www.kt.rim.or.jp/~ksakai/security/otp.html
    one-time-password authentication frequently asked questions
    http://www.itojun.org/admin/otp/otp-faq.txt
    One-Time Password support list
    http://www.st.ryukoku.ac.jp/~kim/security/otp/otp-supported-list

Appendix-1

http://www.st.ryukoku.ac.jp/~kjm/security/otp/otp-supported-list を参照
☆ Supported commands/Firewalls
login
ftpd                 in opie package
su
telnetd  : telnetd use login command for authentication
dcadem-wu-ftpd  : patch available
sudo  : supported
rlogind  : rlogind use login command for authentication
rshd  : rshd doesn't prompt for authentication
FireWall-1  : supported
☆ version information
  latest : opie-2.3
    ・main : 2.32
   ・test(experimental)  : 2.34

Appendix-2

A list of "configure-time options" available for OPIE

Usage: configure [options] [host]
Options: [defaults in brackets after descriptions]
Configuration:
  --cache-file=FILE       cache test results in FILE
  --help                  print this message
  --no-create             do not create output files
  --quiet, --silent       do not print `checking...' messages
  --version               print the version of autoconf that created configure
Directory and file names:
  --prefix=PREFIX         install architecture-independent files in PREFIX
                          [/usr/local]
  --exec-prefix=EPREFIX   install architecture-dependent files in EPREFIX
                          [same as prefix]
  --bindir=DIR            user executables in DIR [EPREFIX/bin]
  --sbindir=DIR           system admin executables in DIR [EPREFIX/sbin]
  --libexecdir=DIR        program executables in DIR [EPREFIX/libexec]
  --datadir=DIR           read-only architecture-independent data in DIR
                          [PREFIX/share]
  --sysconfdir=DIR        read-only single-machine data in DIR [PREFIX/etc]
  --sharedstatedir=DIR    modifiable architecture-independent data in DIR
                          [PREFIX/com]
  --localstatedir=DIR     modifiable single-machine data in DIR [PREFIX/var]
  --libdir=DIR            object code libraries in DIR [EPREFIX/lib]
  --includedir=DIR        C header files in DIR [PREFIX/include]
  --oldincludedir=DIR     C header files for non-gcc in DIR [/usr/include]
  --infodir=DIR           info documentation in DIR [PREFIX/info]
  --mandir=DIR            man documentation in DIR [PREFIX/man]
  --srcdir=DIR            find the sources in DIR [configure dir or ..]
  --program-prefix=PREFIX prepend PREFIX to installed program names
  --program-suffix=SUFFIX append SUFFIX to installed program names
  --program-transform-name=PROGRAM
                          run sed PROGRAM on installed program names
Host type:
  --build=BUILD           configure for building on BUILD [BUILD=HOST]
  --host=HOST             configure for HOST [guessed]
  --target=TARGET         configure for TARGET [TARGET=HOST]
Features and packages:
  --disable-FEATURE       do not include FEATURE (same as --enable-FEATURE=no)
  --enable-FEATURE[=ARG]  include FEATURE [ARG=yes]
  --with-PACKAGE[=ARG]    use PACKAGE [ARG=yes]
  --without-PACKAGE       do not use PACKAGE (same as --with-PACKAGE=no)
  --x-includes=DIR        X include files are in DIR
  --x-libraries=DIR       X library files are in DIR
--enable and --with options recognized:
  --enable-access-file=FILENAME
                          Enable the OPIE access file FILENAME
  --enable-server-md4     Use MD4 instead of MD5 for the server
  --disable-user-locking  Disable user locking
  --enable-user-locking[=DIR]
                          Put user lock files in DIR [/etc/opielocks]
  --enable-retype         Ask users to re-type their secret pass phrases
  --enable-su-star-check  Refuse to switch to disabled accounts
  --disable-new-prompts   Use more compatible (but less informative) prompts
  --enable-insecure-override
                          Allow users to override insecure checks
  --enable-anonymous-ftp  Enable anonymous FTP support
  --disable-utmp          Disable utmp logging
  --disable-wtmp          Disable wtmp logging
LAST MODIFIED
1999 Sep.05
杉山耕一朗
sugiyama@gfd-dennou.org