mail, yubikey, gpg

YubiKey NEO a OATH applet

Standardní YubiKey obsahuje vlastní implementaci jednorázových hesel se specifickým formátem. Na druhou stranu populární služby poslední dobou umožňují dvoufázovou autentizaci, ale typicky s návodem na podporu google authenticatoru - tedy generování hesel dle TOTP standardu o 6 znacích. Pro standardní YubiKey existuje aplikace, která generuje TOTP hesla. Nicméně každý seed zabere jeden slot v YubiKey (a sloty jsou zde jen dva) a přitom každá služba vygeneruje a vnutí seed vlastní. Nicméně pro YubiKey NEO existuje jiná varianta - doinstalování OATH appletu a ukládání seedů do něj - není to závislé na slotech YubiKey a seedů lze přidat relativně mnoho. A to možná nejlepší - hesla lze přečíst i pomocí mobilu/tabletu přes NFC.

YubiKey a PAM

Další pokračování návodu s používáním YubiKey tokenů. Tentokrát se podíváme na PAM modul pam_yubico, který v rámci PAMu umožňuje ověřovat yubikey jednorázová hesla. Konkrétně to vyzkoušíme na SSH, nicméně tím, že je to PAM modul, nic nebrání tomu využít OTP autentizaci jinde - přímo do systému, na screensaver, atd.

YubiKey NEO a OpenPGP Card

V předchozím blogu o klíči YubiKey NEO bylo nastíněno, že může fungovat i jako OpenPGP Card. Tedy stát se pro PGP (resp. budeme zkoumat GnuPG) tím, co jsou hardwarové PKI tokeny pro X.509 certifikáty. Výhodou tedy je, že privátní klíč je uložen přímo v klíči a nelze jej softwarově nijak vyexportovat ven. Operace, při kterých je privátní klíč potřeba (podepisování, dešifrování) se pak provádí tak, že data se předají klíči a ten vrátí zpracovaná data zpátky. Narozdíl od situace, kdy privátní klíč je uložen na disku počítače, tady prakticky nelze privátní klíč zkopírovat bez vědomí jeho vlastníka. Lze ukrást celý token, ale toho si vlastník patrně již všimne.

YubiKey NEO

Navzdory tomu, že od začátku 21. století již pěkných pár let uplynulo, nejčastější metodou autentizace je stále heslo. Poslední dobou se často objevuje možnost tzv. dvoufázové autentizace. Ta má podobu buď kódu zaslaného jiným kanálem (nejčastěji SMS) nebo jednorázového hesla generovaného na základě nějakého sdíleného tajemství, který zná pouze autentizační server a uživatel. S rozšiřováním chytrých telefonů a aplikaci Google Authenticator (a jim podobných) je druhá metoda také stále častější. Nicméně nejde o žádnou velkou novinku, autentizační hardwarové tokeny na bázi jednorázových hesel tu už nějakou dobu existují...

Používání muttu

Všechno již máme nastavené, zbývá nám už jen lehký úvod do používání. Ačkoliv spousta věcí je intuitivních, je zde pár činností, které člověka v první chvíli nenapadnou.

Co se týče toho úplného základu, tak po spuštění byste měli vidět seznam zpráv a v případě patchlé verze ještě navíc sidebar se složkami. Ovládání sidebaru jsme si popsali již při konfiguraci. V seznamu zpráv se lze pohybovat klasicky šipkami + page up/down. Enterem otevřete zprávu a v ní se zrovna tak budete pohybovat. Nyní tedy krátce popíšu ovládání v různých módech.

Nastavení muttu: muttrc

Maily se nám stahují a už je můžeme teoreticky i posílat. Ale předtím, než se konečně vrhneme na jejich čtení, tak si musíme ještě nastavit samotný mutt. Konfiguraci muttu lze pro přehlednost rozházet do více souborů (čehož taky využijeme). Začneme tedy s hlavním souborem, který dáme do ~/.mutt/muttrc:

Odesílání e-mailů: postfix

O postfixu už zde nepíši poprvé - jedno howto už je mu zde věnované pro stavbu mailserveru. Nicméně naše konfigurace pro odesílání e-mailů z muttu bude (oproti mailserveru) opravdu triviální. Prakticky by na to stačil i o hodně jednodušší nullmailer, ale já už ten postfix mám taknějak rád :-).

Stahování e-mailů: offlineimap

Mutt v současné verzi již umí používat protokoly POP3 a IMAP sám. Přesto je však doporučeno svěřit stahování pošty externímu programu. V případě IMAPu navíc tímto získáme výhodu, že budeme mít o lokální kopii dat. To je dobré zejména u notebooku, kdy si potřebujete v terénu přečíst mail, který dávno v INBOXu už máte, ale nechcete se (nebo případně nemůžete) se připojovat.

Mutt (a věci okolo)

Mutt je poštovním klientem, ale ne asi takovým, na jaký je většina lidí zvyklá. Je to totiž konzolový poštovní klient. Navíc vychází z unixové filozofie, takže je opravdu dělán jen pro čtení pošty. Co z toho vyplývá? Že na psaní mailů se použije nějaký váš oblíbený editor, na stahování pošty nějaký specializovaný program (třeba fetchmail, ale dnes už i tedy mutt sám o sobě zvládá POP3 nebo IMAP), na odesílání pošty nějaké lokální MTA a muttem si tu lokální poštu budete opravdu jen číst. Na oplátku mutt to čtení umí

Mailserver - Používání

Řešení je již kompletní; podle popisu by asi většina z vás měla tušit, jak se s tím zachází. Pro úplnost stejně ještě uvedu, co kde v databázi upravit, abysme dosáhli kýženého efektu.

Stránky

Subscribe to mail, yubikey, gpg