<div dir="ltr">Gus thanks a bunch!<div><br></div><div>These are the kind of ideas I really appreciate. Updating documentation is on my to-do list and this will be the very first thing to be added.  I wish we still live in a ladies/gentlemen world but we don't. I really don't enjoy turning knobs and making people do extra steps to do their daily business. </div><div><br></div><div>Cheers,</div><div>Predrag</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 25, 2021 at 2:53 PM Gus Welter <<a href="mailto:gwelter@andrew.cmu.edu">gwelter@andrew.cmu.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Some observations/ideas...</div><div><br></div><div>I have this in my ~/.ssh/config file:</div><div><br></div><div><span style="font-family:monospace">Host lop1 lop2 bash<br>    Hostname %<a href="http://h.autonlab.org" target="_blank">h.autonlab.org</a><br>    User gwelter<br>    LocalForward 8080 git:80<br>Host lov1 lov2 lov3 lov4 lov5 lov6 lov7 lov8 lov9 gpu1 gpu2 gpu3 gpu4 gpu5 gpu6 gpu8 gpu9 gpu10 gpu11 gpu12 gpu13 gpu14 gpu15 gpu16 gpu17 gpu18 gpu19 gpu20 gpu21 gpu22 gpu23 gaia ari athena foxconn low1 git<br>    Hostname %<a href="http://h.int.autonlab.org" target="_blank">h.int.autonlab.org</a><br>    User gwelter<br>    ProxyCommand ssh lop2 exec nc %h %p<br>    LocalForward 8888 localhost:8888<br>    LocalForward 8889 localhost:8889</span></div><div><br></div><div>If I do "ssh lov3" (which per config above hops automatically in via lop2), the duo push happens automatically the menu prompt. Duo push also happens automatically with scp command fyi.</div><div><br></div><div>Furthermore, if you add this to your ~/.ssh/config:</div><div><br></div><div><span style="font-family:monospace">Host *<br>    ControlMaster auto<br>    ControlPath ~/.ssh/master-%r@%h:%p<br>    ControlPersist 180</span></div><div><br></div><div>Once you establish a first ssh tunnel to a machine, subsequent ssh "connections" will hop over the already-established tunnel and thus you won't be prompted for duo authentication.</div><div><br></div><div>E.g.:</div><span style="font-family:monospace">ssh lov3</span><div><span style="font-family:monospace">[duo push]</span></div><div><span style="font-family:monospace">ssh lov3 # in a separate terminal<br></span></div><div><span style="font-family:monospace">[no duo push]</span></div><div><br></div><div>Best,</div><div>Gus<br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 25, 2021 at 12:47 PM Predrag Punosevac <<a href="mailto:predragp@andrew.cmu.edu" target="_blank">predragp@andrew.cmu.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">Hi Jim,<div dir="auto"><br></div><div dir="auto">Majority of the lab infrastructure users are cloud based and don't have the lab issued desktops. Safely distributing and more importantly maintaining (keeping them safe) OpenVPN cryptographic credentials on the client side would be even more challenging. I have no problem getting OpenVPN cryptographic credentials to people who want to use it. However, I will not support clients nor troubleshoot your home networks.</div><div dir="auto">FYI we have used 2FA for several years now</div><div dir="auto">for specific purpose and it worked as desired. You have an Auton Lab desktop so I don't see how is this change affecting you in adversarial way.</div><div dir="auto"><br></div><div dir="auto">Cheers,</div><div dir="auto">Predrag</div><br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Thu, Feb 25, 2021, 12:05 PM Jim Leonard <<a href="mailto:jim@xuth.net" target="_blank">jim@xuth.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">We already have an Auton Lab VPN deployed that has worked fairly reliably for at least as long as I've been in the lab.  Why are we not building on this instead?  Were this built upon and provided to everyone in the lab rather than just having Predrag install credentials on the work desktops, all of the issues/concerns discussed would be moot (there would be other issues but I don't think that they would be show stoppers).<br>
<br>
On Thu, Feb 25, 2021 at 11:14:46AM -0500, Biswajit Paria wrote:<br>
> Thank you Predrag, for trying to accommodate all our requests, while<br>
> keeping the security of our servers in mind.<br>
> I just wanted to +1 on Jim's comment. My workflow is in a similar situation<br>
> (requires a lot of ssh-ing), and it would be extremely convenient to<br>
> remember our devices for some duration.<br>
> Hoping that we converge to a solution that is a little more convenient.<br>
> <br>
> Best,<br>
> Biswajit<br>
> <br>
> On Thu, Feb 25, 2021 at 10:15 AM Predrag Punosevac <<a href="mailto:predragp@andrew.cmu.edu" rel="noreferrer" target="_blank">predragp@andrew.cmu.edu</a>><br>
> wrote:<br>
> <br>
> > No. I don't control the Duo server. I am almost 95% sure that no to Jim<br>
> > and some other guys is due to the same reason. We use the same Duo server<br>
> > as CMU and their identity office is setting defaults. I have received 2<br>
> > dozen emails and it appears that I have more things to do than originally<br>
> > anticipated. It will take me a few weeks to clear the issues.<br>
> ><br>
> > P^2<br>
> ><br>
> > On Thu, Feb 25, 2021, 10:06 AM Anthony Wertz <<a href="mailto:awertz@cmu.edu" rel="noreferrer" target="_blank">awertz@cmu.edu</a>> wrote:<br>
> ><br>
> >> Worked for me. I wonder, since there’s only one option (duo push) can<br>
> >> that be selected automatically? I know I’m being lazy asking you to save us<br>
> >> two keystrokes, but…. I’m lazy. :-)<br>
> >><br>
> >><br>
> >> - Anthony<br>
> >><br>
> >> El feb. 24, 2021, a las 19:01, Predrag Punosevac <<a href="mailto:predragp@andrew.cmu.edu" rel="noreferrer" target="_blank">predragp@andrew.cmu.edu</a>><br>
> >> escribió:<br>
> >><br>
> >> Dear Autonians,<br>
> >><br>
> >> The times of password login or even passwordless with ssh keys are going<br>
> >> the way of the dinosaurs. The Auton Lab cluster is one of the very few<br>
> >> services at Carnegie Mellon University which can be accessed with a simple<br>
> >> password. Shortly this is no longer going to be true. I have just turned on<br>
> >> 2FA on<br>
> >><br>
> >> <a href="http://lop2.autonlab.org" rel="noreferrer noreferrer" target="_blank">lop2.autonlab.org</a><br>
> >><br>
> >> and I will do it shortly on two other shell gateways. ssh access to the<br>
> >> Auton Lab desktops is restricted only to their rightful owners so 2FA can<br>
> >> wait a bit on personal desktops.<br>
> >><br>
> >> At this point, I will need to ask everyone with a valid AndrewID or even<br>
> >> with an alumni account to log into <a href="http://lop2.autonlab.org" rel="noreferrer noreferrer" target="_blank">lop2.autonlab.org</a> and make sure 2FA<br>
> >> works for you. If you can read your Andrew emails via a browser you should<br>
> >> not have any problems accessing the Auton Cluster with the same mobile<br>
> >> device. If I don't hear back from you in the next 7 days I will assume that<br>
> >> you are dandy and turn on 2FA on all our shell gateways.<br>
> >><br>
> >> If your username is for some reason different than Andrew's ID we have to<br>
> >> fix that (I am looking at you interns who became CMU grad students). There<br>
> >> are in total 18 external accounts presumably without corresponding Andrew<br>
> >> ID and I have the green light from sponsoring faculty to close most of<br>
> >> those accounts. This is your last chance to access the system and get your<br>
> >> belongings before I store them for safekeeping.<br>
> >><br>
> >> There is a caveat to 2FA. I am fully aware that 2FA will break X2Go GUI<br>
> >> access. I have little incentive to troubleshoot it as you can use reverse<br>
> >> SSH proxy per our documentation<br>
> >><br>
> >> <a href="https://www.autonlab.org/autonlab_wiki/new_arrivals.html#version-control" rel="noreferrer noreferrer" target="_blank">https://www.autonlab.org/autonlab_wiki/new_arrivals.html#version-control</a><br>
> >><br>
> >> for GUI or Gogs access.<br>
> >><br>
> >> At this point, we have no intention to turn on 2FA inside the Lab or to<br>
> >> require 2FA authentication for Version Control Server. Those things are<br>
> >> located inside the outer perimeter firewall and have satisfactory security<br>
> >> protection.<br>
> >><br>
> >> Most Kind Regards,<br>
> >> Predrag Punosevac<br>
> >><br>
> >><br>
> >><br>
> >><br>
> >><br>
> <br>
> -- <br>
> Biswajit Paria<br>
> PhD student<br>
> Machine Learning Department<br>
> Carnegie Mellon University<br>
</blockquote></div></div>
</blockquote></div>
</blockquote></div>