国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

Tags：系統(tǒng)安全(735)OTPW配置(1)密碼驗(yàn)證(1)　　

　　暗碼驗(yàn)證觸及安然和信賴方面的良多假定。顛末加密的SSH地道和公開密鑰驗(yàn)證則是確保暗碼在傳輸過程中不遭到危及的兩種常常利用編制。不外如果你今朝所利用的這臺(tái)計(jì)較機(jī)不成信賴，那該若何是好？

　　這盡非謹(jǐn)慎謹(jǐn)嚴(yán)的人擔(dān)憂的一種易受報(bào)復(fù)打擊的場景。在良多泛泛環(huán)境和常見處所，你可能不該利用系統(tǒng)暗碼，哪怕是經(jīng)由過程一條安然地道。例子包含以下：

　　◆酒店、藏書樓或網(wǎng)吧里面的公總計(jì)較機(jī);

　　◆同事被傳染了病毒的計(jì)較機(jī);

　　◆結(jié)對(duì)編程時(shí)所利用的共享工作站;

　　◆他人有可能看到你鍵進(jìn)暗碼全部過程的任何處所。

　　上述這些例子有何共同的地方呢？共同的地方就是，實(shí)際上，你試圖從一個(gè)不成信賴的來歷連接至可托任的目標(biāo)地。這完全有悖于設(shè)計(jì)大年夜大都驗(yàn)證系統(tǒng)的初志。

　　就拿公開密鑰驗(yàn)證來講。SSH公開密鑰驗(yàn)證無疑繞過了長途主機(jī)上的暗碼提示，可是它仍需要你把你的私有密鑰暗碼交給本地機(jī)械。別的，一旦密鑰用你的暗碼來解密，本地系統(tǒng)便可以完全拜候里面的敏感密鑰內(nèi)容。

　　好在，已有一種編制可以解決這個(gè)常常被人忽視的標(biāo)題問題：那就是一次性暗碼。

　　SSH和一次性暗碼這對(duì)組合具有強(qiáng)大年夜的功能：

　　◆SSH和談供給了跨全部收集對(duì)登錄挨次進(jìn)行加密的機(jī)制。

　　◆杰出的SSH客戶端讓你可以在輸進(jìn)登錄資料之前，先查抄長途主機(jī)的公開密鑰指紋。這可以避免未授權(quán)主機(jī)匯集你的一次性暗碼。

　　◆一次性暗碼系統(tǒng)確保了暗碼沒法被反復(fù)利用。所以，就算某個(gè)暗碼在傳輸過程中被獲得，一旦你用該暗碼登錄上往，這個(gè)暗碼對(duì)報(bào)復(fù)打擊者來講也是毫無價(jià)值的。

　　近似UNIX的系統(tǒng)有良多一次性暗碼解決方案。兩種最馳名的解決方案是S/KEY和OPIE(每件工作的一次性暗碼)。

　　因?yàn)镺PIE比來從Debian和Ubuntu儲(chǔ)存庫中移除后，由德國計(jì)較機(jī)科學(xué)家Markus Kuhn開辟的OTPW一次性暗碼系統(tǒng)供給了一種切實(shí)可行的替代方案。當(dāng)然OTPW并不是直代替代OPIE，但它供給了同類功能，同時(shí)供給了S/KEY或OPIE所沒有的一些令人存眷的特點(diǎn)。

　　從Debian和Ubuntu儲(chǔ)存庫移除OPIE

　　Debian在2011年年初開端移除與OPIE有關(guān)的法度包，啟事是二進(jìn)制法度的安然性、許可標(biāo)題問題和貧乏上游勾當(dāng)?shù)确矫嬉l(fā)了一番會(huì)商。

　　假定你有歡愉愛好想體味具體細(xì)節(jié)，可以參閱以下相干的Debian弊端陳述：

　　◆http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=511582

　　◆http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=622220

　　◆http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=622221

　　◆http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=622246

　　當(dāng)然截至截稿時(shí)，OPIE法度包仍然在今朝的Debian不變版本(代號(hào)為"Squeeze")中，Debian端口(debports)儲(chǔ)存庫里面也有一些非正式的平大駕口，但OPIE并未呈此刻測試版或非不變版中，它也仿佛不太可能添加到下一個(gè)隱私版本中。

　　特別是，OTPW供給了以下功能：

　　◆雙因子驗(yàn)證，由"前綴暗碼"和一組主動(dòng)生成的、一次性的后綴構(gòu)成。就算后綴列表落到了壞人的手里，如果沒有前綴暗碼，那也少不了蠻力報(bào)復(fù)打擊。

　　◆經(jīng)由過程利用暗碼鎖和三重質(zhì)詢(triplet challenge)，防備某些競爭前提和中間人報(bào)復(fù)打擊。

　　◆撐持共享式文件系統(tǒng)。因?yàn)镺TPW對(duì)比存儲(chǔ)在用戶主目次里面的散列值列表來查抄暗碼，所以一次性暗碼列表合用于掛載統(tǒng)一$HOME目次的所有系統(tǒng)。

　　接下來將介紹OTPW的安裝和利用，并出格側(cè)重介紹與OpenSSH的集成。

　　法度包安裝

　　想利用OTPW，你就需要兩個(gè)二進(jìn)制法度：otpw-bin和libpam-otpw。就Debian和Ubuntu而言，安裝很等閑，只要履行這個(gè)號(hào)令：

　　sudo apt-get install otpw-bin libpam-otpw

　　假定你的發(fā)行版其實(shí)不供給OTPW，可以直接從開辟者的主頁下載源代碼。源打包文件其實(shí)不利用GNU主動(dòng)建設(shè)(autoconf)東西，所以你需要遵循開辟者的把持申明，手動(dòng)編譯和安裝二進(jìn)制法度。

　　建設(shè)可插拔驗(yàn)證模塊(PAM)

　　讓系統(tǒng)為OTPW作好預(yù)備的下一步是，建設(shè)libpam-otpw。周全措置PAM不在本文的切磋范圍以內(nèi)，但我仍是會(huì)在這里介紹幾種最多見的利用處合。

　　改動(dòng)PAM建設(shè)會(huì)你讓沒法利用你的工作站或辦事器，所以一個(gè)好主張就是，讓你現(xiàn)有的終端保持開放狀況，直到你確信一切都正常工作。假定你可以拜候節(jié)制臺(tái)，手邊要備一份可啟動(dòng)的發(fā)行版或解救盤。想體味經(jīng)由過程SSH測試PAM方面的更多信息，請(qǐng)參閱《借助SSH，測試一次性暗碼驗(yàn)證》這篇附文。

　　借助SSH，測試一次性暗碼驗(yàn)證

　　假定你在為OTPW建設(shè)一個(gè)長途系統(tǒng)，應(yīng)當(dāng)在不封鎖今朝SSH連接的環(huán)境下測試PAM倉庫。切記：假定你在PAM建設(shè)上呈現(xiàn)了弊端，即便有權(quán)拜候節(jié)制臺(tái)，也可能沒法驗(yàn)證--所以手邊要備一份可啟動(dòng)的發(fā)行版，好比Knoppix、SystemRescueCD或Finnix，以防萬一。與此同時(shí)，現(xiàn)有的登錄仍然不遭到影響，因?yàn)樗鼈円呀?jīng)由過程了驗(yàn)證。

　　為了準(zhǔn)確測試PAM倉庫，你不克不及從頭利用現(xiàn)有的SSH連接。大年夜大都最新的發(fā)行版在默許環(huán)境下都撐持SSH多路復(fù)用和持久性連接，所以要明白禁用這些選項(xiàng)以便測試。

　　別的，SSH在默許環(huán)境下偏疼公開密鑰驗(yàn)證。所以，為了測試OTPW驗(yàn)證，公開密鑰驗(yàn)證一樣需要姑且禁用。

　　下面這個(gè)調(diào)用可以或許準(zhǔn)確測試SSH PAM倉庫，不需要對(duì)系統(tǒng)做任何改動(dòng)：

　　read -p 'Hostname: ' REMOTE_HOST &&

　　SSH_AGENT_PID= SSH_AUTH_SOCK= \

　　ssh \

　　-o PreferredAuthentications=keyboard-interactive \

　　-o ControlPersist=no \

　　-o ControlPath=none \

　　"$REMOTE_HOST"

　　一旦你確信OTPW在正常工作，還應(yīng)當(dāng)驗(yàn)證你的其他驗(yàn)證機(jī)制(即SSH公開密鑰和泛泛的系統(tǒng)暗碼)繼續(xù)正常工作。

　　啟用OTPW的最等閑編制就是把它直接放在common-auth建設(shè)文件中pam_unix的前面：

　　# /etc/pam.d/common-auth

　　auth sufficient pam_otpw.so

　　session optional pam_otpw.so

　　auth sufficient pam_unix.so nullok_secure

　　auth required pam_deny.so

　　PAM庫的挨次很是首要。假定把OTPW放在第一名，具有~/.otpw文件的用戶會(huì)起首獲得一次性暗碼的提示，如果OTPW登錄掉敗，承諾退回到尺度的系統(tǒng)暗碼。沒有~/.otpw文件的用戶只會(huì)看到尺度的暗碼提示。

　　假定你更喜好挨次倒過來，在退回到一次性暗碼之前提示系統(tǒng)暗碼，只要確保pam_deny放在最后一名：

　　# /etc/pam.d/common-auth

　　auth sufficient pam_unix.so nullok_secure

　　auth sufficient pam_otpw.so

　　session optional pam_otpw.so

　　auth required pam_deny.so

　　假定你不由得想完全移除尺度的系統(tǒng)暗碼，特別是節(jié)制臺(tái)登錄時(shí)所用的系統(tǒng)暗碼，千萬別這么做。在一些系統(tǒng)上，特別是在具有ecryptfs-encrypted主目次的Ubuntu系統(tǒng)上，如果沒有尺度的系統(tǒng)暗碼，想從OTPW故障恢復(fù)過來極其堅(jiān)苦。

　　改動(dòng)common-auth凡是是在無外設(shè)辦事器或只有節(jié)制臺(tái)的系統(tǒng)上要做的準(zhǔn)確把持。不外，供給X Window System的工作站或辦事器給一次性暗碼系統(tǒng)帶來了特別的標(biāo)題問題。

　　一些東西或利用法度沒法與OTPW順利協(xié)同運(yùn)行，啟事是它們沒法把質(zhì)詢顯示給用戶。典型的癥狀凡是是，呈現(xiàn)了永久沒法完成或仿佛忽視用戶輸進(jìn)的暗碼對(duì)話。在過往，gksu和GNOME顯示治理器(GDM)連絡(luò)OPIE利用時(shí)有這個(gè)標(biāo)題問題。這類環(huán)境下，解決編制就是從common-auth移除OTPW，只把它添加在特定的辦事中。

　　好比說，你可以把OTPW驗(yàn)證添加到SSH連接，同時(shí)針對(duì)節(jié)制臺(tái)或GUI登錄就利用尺度的暗碼提示。只要三個(gè)簡單步調(diào)，就可以做到這一點(diǎn)：

　　1. 從common-auth刪除援引pam_otpw.so的任何行：

　　# /etc/pam.d/common-auth on Debian Squeeze

　　auth sufficient pam_unix.so nullok_secure

　　auth required pam_deny.so

　　2. 為PAM成立一個(gè)新的OTPW包含文件：

　　# /etc/pam.d/otpw

　　auth sufficient pam_otpw.so

　　session optional pam_otpw.so

　　3. 在/etc/pam.d/sshd中的common-auth前面添加OTPW：

　　# 其他內(nèi)容……

　　# 啟用OTPW驗(yàn)證。

　　@include otpw

　　# 尺度的Un*x驗(yàn)證。

　　@include common-auth

　　# 更多內(nèi)容……

　　SSH建設(shè)

　　除建設(shè)PAM庫外，OTPW在SSH守護(hù)法度的建設(shè)文件中還需要以下三個(gè)設(shè)置：

　　# /etc/ssh/sshd_config

　　UsePrivilegeSeparation yes

　　UsePAM yes

　　ChallengeResponseAuthentication yes

　　這些設(shè)置凡是就在那邊，可是可能被注釋掉落了或被設(shè)置成"no"，所以要作響應(yīng)改動(dòng)。下一步，改動(dòng)建設(shè)文件后，從頭裝進(jìn)SSH守護(hù)法度：

　　# 通俗Linux

　　sudo /etc/init.d/ssh reload

　　# Debian 6.0.4+

　　sudo service ssh reload

　　# Ubuntu 11.04+

　　sudo reload ssh

　　生成OTPW暗碼

　　一旦OTPW PAM模塊已被準(zhǔn)確建設(shè)，只有具有~/.otpw文件的用戶在登錄過程中會(huì)遭到一次性暗碼對(duì)話的質(zhì)詢。除只與質(zhì)詢的有效應(yīng)對(duì)匹配的單向散列列表外，該文件里面還含有關(guān)于其內(nèi)容的一些元數(shù)據(jù)。

　　想成立該文件，或從頭為它裝填新暗碼，可利用otpw-gen合用東西。默許環(huán)境下，它會(huì)成立280個(gè)暗碼后綴，格局經(jīng)編排后可以擺列到單面信函紙(8.5" x 11")上。因?yàn)閪/.otpw文件里面只存儲(chǔ)了單向散列，而不是暗碼本身，暗碼生成時(shí)，你必需捕獲或打印該號(hào)令的尺度輸出。你沒法過后獲得暗碼列表，而是需要生成新的暗碼。

　　下面是你初次運(yùn)行該號(hào)令，將輸解纜送到默許打印機(jī)所看到的模樣：

　　$ otpw-gen | lpr

　　Generating random seed ...

　　If your *** password list is stolen, the thief

　　should not gain access to your account with this

　　information alone. Therefore, you need to memorize

　　and enter below a prefix password. You will have to

　　enter that each time directly before entering the

　　one-time password (on the same line).

　　When you log in, a 3-digit password number will be

　　displayed. It identifies the one-time password on

　　your list that you have to append to the prefix

　　password. If another login to your account is in

　　progress at the same time, several password numbers

　　may be shown and all corresponding passwords have to

　　be appended after the prefix password. Best generate

　　a new password list when you have used up half of

　　the old one.

　　Enter new prefix password:

　　Reenter prefix password:

　　Creating '~/.otpw'.

　　Generating new one-time passwords ...

　　生成新暗碼列表時(shí)，尺度弊端上呈現(xiàn)的提示略有不合：

　　Overwrite existing password list '~/.otpw' (Y/n)?

　　Enter new prefix password:

　　Reenter prefix password:

　　Creating '~/.otpw'.

　　Generating new one-time passwords ...

　　第一個(gè)提示確保你沒有不謹(jǐn)慎籠蓋現(xiàn)有的暗碼列表;第二個(gè)提示要求你輸進(jìn)一個(gè)新暗碼。沒有甚么可以禁止你在每次調(diào)用時(shí)反復(fù)利用統(tǒng)一個(gè)前綴暗碼--隨機(jī)種子使得反復(fù)散列不成能呈現(xiàn)，可是最好的做法仍是每當(dāng)你從頭生成暗碼列表時(shí)，利用一個(gè)新的前綴。

　　假定你想在長途主機(jī)上生成暗碼列表，可是打印到本地輸出設(shè)備上，你可以經(jīng)由過程SSH連接來做這一步，只要你信賴你的本地主機(jī)：

　　read -p 'Hostname: ' &

　　寄望利用stty以確保前綴暗碼沒有回送到屏幕上。只要你的前綴暗碼仍然是安然的，利用不成信賴的輸出設(shè)備跟暗碼列表落到壞人手里一樣沒有關(guān)系。對(duì)常常出差的人來講，這常常是個(gè)合用的安然折中方案。

　　最后，想避免對(duì)某個(gè)用戶實(shí)施OTPW質(zhì)詢，只要從該用戶的主目次刪除.otpw文件便可。

　　利用OTPW登錄

　　一旦你手里有了暗碼列表，便可以預(yù)備為你的SSH連接利用一次性暗碼驗(yàn)證了。假定你未將任何身份裝進(jìn)到SSH代辦署理里面，對(duì)話應(yīng)當(dāng)近似如許：

　　$ ssh localhost

　　Password 015:

　　帶數(shù)字的提示是OTPW質(zhì)詢。為了應(yīng)對(duì)，請(qǐng)?jiān)谀阒按蛴〉陌荡a清單上找到匹配的質(zhì)詢ID。接下來，輸進(jìn)前綴暗碼，后面跟著質(zhì)詢ID以后的字符串。