有人說,安全不是一個產品,而是一個過程(LCTT 注:安全公司 McAfee 認為,安全風險管理是一個方法論,而不是安全產品的堆疊)。雖然 SSH 協議被設計成使用加密技術來確保安全,但如果使用不當,別人還是能夠破壞你的系統:比如弱密碼、密鑰洩露、使用過時的 SSH 客戶端等,都能引發安全問題。
在考慮 SSH 認證方案時,大家普遍認為公鑰認證比密碼認證更安全。然而,公鑰認證技術並不是為公共環境設置的,如果你在一台公用電腦上使用公鑰認證登錄 SSH 服務器,你的服務器已經毫無安全可言了,公用的電腦可能會記錄你的公鑰,或從你的內存中讀取公鑰。如果你不信任本地電腦,那你最好還是使用其他方式登錄服務器。現在就是“一次性密碼(OTP)”派上用場的時候了,就像名字所示,一次性密碼只能被使用一次。這種一次性密碼非常合適在不安全的環境下發揮作用,就算它被竊取,也無法再次使用。
有個生成一次性密碼的方法是通過谷歌認證器,但在本文中,我要介紹的是另一種 SSH 登錄方案:OTPW,它是個一次性密碼登錄的軟件包。不像谷歌認證,OTPW 不需要依賴任何第三方庫。
OTPW 由一次性密碼生成器和 PAM 認證規則組成。在 OTPW 中一次性密碼由生成器事先生成,然後由用戶以某種安全的方式獲得(比如打印到紙上)。另一方面,這些密碼會通過 Hash 加密保存在 SSH 服務器端。當用戶使用一次性密碼登錄系統時,OTPW 的 PAM 模塊認證這些密碼,並且保證它們不能再次使用。
使用 apt-get 安裝:
$ sudo apt-get install libpam-otpw otpw-bin打開針對 SSH 服務的 PAM 配置文件(/etc/pam.d/sshd),注釋掉下面這行(目的是禁用 PAM 的密碼認證功能):
#@include common-auth添加下面兩行(用於打開一次性密碼認證功能):
auth required pam_otpw.sosession optional pam_otpw.so
在基於 RedHat 的發行版中沒有編譯好的 OTPW,所以我們需要使用源代碼來安裝它。
首先,安裝編譯環境:
$ sudo yum git gcc pam-devel$ git clone https://www.cl.cam.ac.uk/~mgk25/git/otpw$ cd otpw打開 Makefile 文件,編輯以“PAMLIB=”開頭的那行配置:
64 位系統:
PAMLIB=/usr/lib64/security32 位系統:
PAMLIB=/usr/lib/security編譯安裝。需要注意的是安裝過程會自動重啟 SSH 服務一下,所以如果你是使用 SSH 連接到服務器,做好被斷開連接的准備吧(LCTT 譯注:也許不會被斷開連接,即便被斷開連接,請使用原來的方式重新連接即可,現在還沒有換成一次性口令方式。)。
$ make$ sudo make install現在你需要更新 SELinux 策略,因為 /usr/sbin/sshd 會往你的 home 目錄寫數據,而 SELinux 默認是不允許這麼做的。如果沒有使用 SELinux 服務(LCTT 注:使用 getenforce 命令查看結果,如果是 enforcing,就是打開了 SELinux 服務),請跳過這一步。
$ sudo grep sshd /var/log/audit/audit.log | audit2allow -M mypol$ sudo semodule -i mypol.pp接下來打開 PAM 配置文件(/etc/pam.d/sshd),注釋下面這行(為了禁用密碼認證):
#auth substack password-auth添加下面兩行(用於打開一次性密碼認證功能):
auth required pam_otpw.sosession optional pam_otpw.so
打開 /etc/ssh/sshd_config 文件,設置下面三個參數。你要確保下面的參數不會重復存在,否則 SSH 服務器可能會出現異常。
UsePrivilegeSeparation yesChallengeResponseAuthentication yesUsePAM yes你還需要禁用默認的密碼認證功能。另外可以選擇開啟公鑰認證功能,那樣的話你就可以在沒有一次性密碼的時候使用公鑰進行認證。
PubkeyAuthentication yesPasswordAuthenticationno重啟 SSH 服務器。
Debian, Ubuntu 或 Linux Mint 發行版:
$ sudo service ssh restartFedora 或 CentOS/RHEL 7 發行版:
$ sudo systemctl restart sshd(LCTT 譯注:雖然這裡重啟了 sshd 服務,但是你當前的 ssh 連接應該不受影響,只是在你完成下述步驟之前,無法按照原有方式建立新的連接了。因此,保險起見,要麼多開一個 ssh 連接,避免誤退出當前連接;要麼將重啟 sshd 服務器步驟放到步驟3完成之後。)
之前提到過,你需要事先創建一次性密碼,並保存起來。使用 otpw-gen 命令創建密碼:
$ cd ~$ otpw-gen > temporary_password.txt這個命令會讓你輸入密碼前綴,當你以後登錄的時候,你需要同時輸入這個前綴以及一次性密碼。密碼前綴是另外一層保護,就算你的一次性密碼表被洩漏,別人也無法通過暴力破解你的 SSH 密碼。
設置好密碼前綴後,這個命令會產生 280 個一次性密碼(LCTT 譯注:保存到 ~/.otpw 下),並將它們導出到一個文本文件中(如 temporary_password.txt)。每個密碼(默認是 8 個字符)由一個 3 位十進制數索引。你需要將這個密碼表打印出來,並隨身攜帶。
查看 ./.otpw 文件,它存放了一次性密碼的 HASH 值。頭 3 位十進制數與你隨身攜帶的密碼表的索引一一對應,在你登錄 SSH 服務器的時候會被用到。
$ more ~/.otpwOTPW12803128191ai+:ENwmMqwn218tYRZc%PIY27a241ve8ns%NsHFmf055W4/YCauQJkr:102ZnJ4VWLFrk5N2273Xww55hteJ8Y1509d4b5=A64jBT168FWBXY%ztm9j%000rWUSdBYr%8UE037NvyryzcI+YRX122rEwA3GXvOk=z
使用普通的方式登錄 SSH 服務器:
$ ssh user@remote_host如果 OTPW 成功運行,你會看到一點與平時登錄不同的地方:
Password191:現在打開你的密碼表,找到索引號為 191 的密碼。
023 kBvp tq/G 079 jKEw /HRM 135 oW/c /UeB191 fOO+PeiD247 vAnZ EgUt從上表可知,191 號密碼是“fOO+PeiD”。你需要加上密碼前綴,比如你設置的前綴是“000”,則你實際需要輸入的密碼是“000fOO+PeiD”。
成功登錄後,你這次輸入的密碼自動失效。查看 ~/.otpw 文件,你會發現第一行變成“---------------”,這表示 191 號密碼失效了。
OTPW12803128---------------218tYRZc%PIY27a241ve8ns%NsHFmf055W4/YCauQJkr:102ZnJ4VWLFrk5N2273Xww55hteJ8Y1509d4b5=A64jBT168FWBXY%ztm9j%000rWUSdBYr%8UE037NvyryzcI+YRX122rEwA3GXvOk=z
在這個教程中,我介紹了如何使用 OTPW 工具來設置一次性登錄密碼。你也許意識到了在這種雙因子的認證方式中,打印一張密碼表讓人感覺好 low,但是這種方式是最簡單的,並且不用依賴任何第三方軟件。無論你用哪種方式創建一次性密碼,在你需要在一個不可信任的環境登錄 SSH 服務器的時候,它們都很有用。你可以就這個主題來分享你的經驗和觀點。
提高Ubuntu的SSH登陸認證速度的辦法 http://www.linuxidc.com/Linux/2014-09/106810.htm
開啟SSH服務讓Android手機遠程訪問 Ubuntu 14.04 http://www.linuxidc.com/Linux/2014-09/106809.htm
如何為Linux系統中的SSH添加雙重認證 http://www.linuxidc.com/Linux/2014-08/105998.htm
在 Linux 中為非 SSH 用戶配置 SFTP 環境 http://www.linuxidc.com/Linux/2014-08/105865.htm
Linux 上SSH 服務的配置和管理 http://www.linuxidc.com/Linux/2014-06/103627.htm
SSH入門學習基礎教程 http://www.linuxidc.com/Linux/2014-06/103008.htm
SSH免密碼登錄詳解 http://www.linuxidc.com/Linux/2015-03/114709.htm
via: http://xmodulo.com/secure-ssh-login-one-time-passwords-linux.html
作者:Dan Nanni 譯者:bazz2 校對:wxy
本文由 LCTT 原創翻譯,Linux中國 榮譽推出
來源:https://linux.cn/article-5493-1.html
