<div dir="ltr">Hi Jim,<div><br></div><div>I hope you are doing well. You are not the first one to ask. I am forwarding my original response to a similar question to the mailing list.</div><div><br></div><div>"I don't think so but this is still in such an early stage that I am just speculating. I am fully aware that some corner cases will have to be encountered and resolved eventually. CMU VPN has nothing to do with us. We have our own perimeter firewall and consider the rest of the CMU network hostile. ssh is a poor man VPN and we did evaluate a bunch of VPN technologies besides ssh. TL:TW. They all appear to be significantly more involving than what we use now. "<br></div><div><br></div><div>And just to add to the above answer. We could even spend thousands of dollars for Cisco AnyConnect proprietary appliance as NREC did and you will still have to use your phone for 2FA challenge.  I do when I log into the NREC. There is no way around it. Our main adversaries are bitcoin mining guys. They could care less about anything we do. They want our expensive computing nodes for cryptocurrency mining. Microsoft guys came up with our paper and they are advocating 3FA. You need to respond to the challenging question (last 4 digits of your cell phone) before they send you a security token if you want to login into hotmail.</div><div><br></div><div>Cheers,</div><div>Predrag </div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Feb 24, 2021 at 10:32 PM Jim Leonard <<a href="mailto:jim@xuth.net">jim@xuth.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Can there be some means of making it so that subsequent logins for some duration from the same IP don't require more duo acknowlegements?  This will make using <a href="http://git.int.autonlab.org" rel="noreferrer" target="_blank">git.int.autonlab.org</a> or similar more difficult from anything other than our work desktops because most of us just use netcat scripts that handle the multiple hops in our .ssh files.  Unless you have some suggested better means of doing this.  Alternately providing a means that anyone in the lab can use to get any of our machines onto the VPN so we can access the machines directly without doing the multiple hops.<br>
<br>
On Wed, Feb 24, 2021 at 07:01:28PM -0500, Predrag Punosevac wrote:<br>
> Dear Autonians,<br>
> <br>
> The times of password login or even passwordless with ssh keys are going<br>
> the way of the dinosaurs. The Auton Lab cluster is one of the very few<br>
> services at Carnegie Mellon University which can be accessed with a simple<br>
> password. Shortly this is no longer going to be true. I have just turned on<br>
> 2FA on<br>
> <br>
> <a href="http://lop2.autonlab.org" rel="noreferrer" target="_blank">lop2.autonlab.org</a><br>
> <br>
> and I will do it shortly on two other shell gateways. ssh access to the<br>
> Auton Lab desktops is restricted only to their rightful owners so 2FA can<br>
> wait a bit on personal desktops.<br>
> <br>
> At this point, I will need to ask everyone with a valid AndrewID or even<br>
> with an alumni account to log into <a href="http://lop2.autonlab.org" rel="noreferrer" target="_blank">lop2.autonlab.org</a> and make sure 2FA<br>
> works for you. If you can read your Andrew emails via a browser you should<br>
> not have any problems accessing the Auton Cluster with the same mobile<br>
> device. If I don't hear back from you in the next 7 days I will assume that<br>
> you are dandy and turn on 2FA on all our shell gateways.<br>
> <br>
> If your username is for some reason different than Andrew's ID we have to<br>
> fix that (I am looking at you interns who became CMU grad students). There<br>
> are in total 18 external accounts presumably without corresponding Andrew<br>
> ID and I have the green light from sponsoring faculty to close most of<br>
> those accounts. This is your last chance to access the system and get your<br>
> belongings before I store them for safekeeping.<br>
> <br>
> There is a caveat to 2FA. I am fully aware that 2FA will break X2Go GUI<br>
> access. I have little incentive to troubleshoot it as you can use reverse<br>
> SSH proxy per our documentation<br>
> <br>
> <a href="https://www.autonlab.org/autonlab_wiki/new_arrivals.html#version-control" rel="noreferrer" target="_blank">https://www.autonlab.org/autonlab_wiki/new_arrivals.html#version-control</a><br>
> <br>
> for GUI or Gogs access.<br>
> <br>
> At this point, we have no intention to turn on 2FA inside the Lab or to<br>
> require 2FA authentication for Version Control Server. Those things are<br>
> located inside the outer perimeter firewall and have satisfactory security<br>
> protection.<br>
> <br>
> Most Kind Regards,<br>
> Predrag Punosevac<br>
</blockquote></div>