歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> Linux教程

如何在Linux上用一次性密碼確保SSH登錄安全?

常言道,安全不是一種產品,而是一個過程。雖然SSH協議本身在設計上采用了密碼,因而很安全,但要是它未得到適當管理:無論是弱密碼、密鑰洩密還是過時的SSH客戶軟件,有人就會對你的SSH服務造成嚴重破壞。

至於SSH驗證,公鑰驗證通常被認為比密碼驗證來得安全。然而,如果你從公共或共享的計算機登錄,密鑰驗證實際上並不可取,甚至不太安全。因為在這類計算機上,總是有可能潛藏著隱形擊鍵記錄程序或內存抓取惡意軟件(memory scraper)之類的威脅。要是你無法信任本地計算機,最好還是使用別的密碼。這時候,“一次性密碼”就派得上用場。顧名思義,每個一次性密碼只能用一次。這種一次性密碼可以在不可信任的環境下安全地使用,因為即使被人盜取,它們也無法再次使用。

生成一次性密碼的辦法之一就是通過谷歌驗證器(Google Authenticator)。在本教程中,我將演示創建用於SSH登錄的一次性密碼的另一種方法:OTPW(http://www.cl.cam.ac.uk/~mgk25/otpw.html),這是一次性密碼登錄程序包。不像谷歌驗證器,你不用依賴任何第三方即可生成並驗證一次性密碼。

OTPW簡介

OTPW包括兩部分:一次性密碼生成器和集成PAM的驗證實用例程。在OTPW中,一次性密碼由生成器通過推理法生成,並由用戶安全地攜帶(比如打印在紙張上)。所生成密碼的密碼散列然後存儲在SSH服務器主機上。當用戶用一次性密碼登錄時,OTPW的PAM模塊就會驗證密碼,使用後讓密碼作廢,防止再次使用。

第一步:在Linux上安裝和配置OTPW

在Debian、Ubuntu或Linux Mint上:

用apt-get安裝OTPW程序包。

$ sudo apt-get install libpam-otpw otpw-bin

使用文本編輯工具,打開SSH的PAM配置文件(/etc/pam.d/sshd),注釋掉下面這行代碼(以禁用密碼驗證)。

#@include common-auth

然後添加下面兩行代碼(以啟用一次性密碼驗證):

auth required pam_otpw.so
session optional pam_otpw.so

在Fedora或CentOS/RHEL上:

在基於紅帽的系統上,沒有作為預制程序包的OTPW。於是,我們通過從源代碼來構建的方法,安裝OTPW。

首先,安裝基本組件:

$ sudo yum git gcc pam-devel
$ git clone https://www.cl.cam.ac.uk/~mgk25/git/otpw
$ cd otpw

使用文本編輯工具打開Makefile,編輯以“PAMLIB=”開頭的這一行,如下所示。

在64位系統上:

PAMLIB=/usr/lib64/security

在32位系統上:

PAMLIB=/usr/lib/security

編譯後安裝。請注意:安裝環節會自動重啟SSH服務器。所以如果你使用SSH連接,就要准備好斷開。

$ make
$ sudo make install

現在你需要更新SELinux策略,因為/usr/sbin/sshd試圖寫入到用戶的主目錄,而默認的SELinux策略不允許這個操作。下面這些命令可以起到更新策略的作用。如果你不使用SELinux,跳過這一步好了。

$ sudo grep sshd /var/log/audit/audit.log | audit2allow -M mypol
$ sudo semodule -i mypol.pp

下一步,用文本編輯工具打開SSH的PAM配置文件(/etc/pam.d/sshd),注釋掉下面這行代碼(以禁用密碼驗證)。

#auth substack password-auth

然後添加下面兩行代碼(以啟用一次性密碼驗證):

auth required pam_otpw.so
session optional pam_otpw.so

 

第二步:針對一次性密碼配置SSH服務器

下一步是配置SSH服務器,以接受一次性密碼。

用文本編輯工具打開/etc/ssh/sshd_config,設置下列三個參數。確保你沒有不止一次地添加這幾行,因為那會引起SSH服務器失效。

UsePrivilegeSeparation yes
ChallengeResponseAuthentication yes
UsePAM yes

你還需要禁用默認的密碼驗證。可以視情況,禁用公密驗證,那樣萬一你沒有一次性密碼,就可以恢復到基於密鑰的驗證。

PubkeyAuthentication yes
PasswordAuthentication no

現在,重啟SSH服務器。

在Debian、Ubuntu或Linux Mint上:

$ sudo service ssh restart

在Fedora或CentOS/RHEL 7上:

$ sudo systemctl restart sshd

 

第三步:用OTPW生成一次性密碼

如前所述,你需要事先創建一次性密碼,並將它們存儲在遠程SSH服務器主機上。為此,以你登錄時所用的用戶身份運行otpw-gen工具。

$ cd ~
$ otpw-gen > temporary_password.txt

它會要求你設置一個前綴密碼。你以後登錄時,就需要輸入這個前綴密碼以及一次性密碼。實際上前綴密碼是另一層保護機制。即使密碼表落到了不法分子手裡,前綴密碼也會迫使對方采用蠻力攻擊。

一旦前綴密碼設置完畢,命令會生成280個一次性密碼,並將它們存儲在輸出文本文件(比如temporary_password.txt)中。每個密碼(默認情況下長度是8個字符)的前面是三位數的索引號。你可以將文件打印在紙張上,隨身攜帶。

你還會看到~/.otpw文件已創建,這些密碼的密碼散列就存儲在其中。每一行的頭三位表明了將用於SSH登錄的密碼的索引號。

$ more ~/.otpw
OTPW1
280 3 12 8
191ai+:ENwmMqwn
218tYRZc%PIY27a
241ve8ns%NsHFmf
055W4/YCauQJkr:
102ZnJ4VWLFrk5N
2273Xww55hteJ8Y
1509d4b5=A64jBT
168FWBXY%ztm9j%
000rWUSdBYr%8UE
037NvyryzcI+YRX
122rEwA3GXvOk=z

測試用於SSH登錄的一次性密碼

現在,不妨像平常那樣登錄到SSH服務器:

$ ssh user@remote_host

如果OTPW成功設置,你會看到略有不同的密碼提示符:

Password 191:

現在打開密碼表,尋找密碼表中的索引號“191”。

023 kBvp tq/G 079 jKEw /HRM 135 oW/c /UeB 191 fOO+ PeiD 247 vAnZ EgUt

據上面密碼表顯示,編號“191”的一次性密碼是“fOO+PeiD”。你需要在前面加上前綴密碼。比如說,如果你的前綴密碼是“000”,那麼需要輸入的實際的一次性密碼是“000fOO+PeiD”。

一旦你成功登錄,所使用的密碼會自動作廢。如果你查看~/.otpw,就會注意到第一行被換成了“---------------”,這意味著密碼“191”已經無效。

OTPW1
280 3 12 8
---------------
218tYRZc%PIY27a
241ve8ns%NsHFmf
055W4/YCauQJkr:
102ZnJ4VWLFrk5N
2273Xww55hteJ8Y
1509d4b5=A64jBT
168FWBXY%ztm9j%
000rWUSdBYr%8UE
037NvyryzcI+YRX
122rEwA3GXvOk=z

結束語

我在本教程中演示了如何使用OTPW程序包,設置用於SSH登錄的一次性密碼。你可能認識到,打印的密碼表就好比是雙因子驗證中的安全令牌,只是比較平實罷了。不過,它更簡單,你也不用依賴任何第三方即可實現。無論你使用什麼機制來創建一次性密碼,當你需要從不可信任的公共計算機登錄到SSH服務器時,它們都大有幫助。歡迎留言交流。

英文:How to secure SSH login with one-time passwords on Linux

提高Ubuntu的SSH登陸認證速度的辦法 http://www.linuxidc.com/Linux/2014-09/106810.htm

開啟SSH服務讓Android手機遠程訪問 Ubuntu 14.04  http://www.linuxidc.com/Linux/2014-09/106809.htm

如何為Linux系統中的SSH添加雙重認證 http://www.linuxidc.com/Linux/2014-08/105998.htm

在 Linux 中為非 SSH 用戶配置 SFTP 環境 http://www.linuxidc.com/Linux/2014-08/105865.htm

Linux 上SSH 服務的配置和管理 http://www.linuxidc.com/Linux/2014-06/103627.htm

SSH入門學習基礎教程 http://www.linuxidc.com/Linux/2014-06/103008.htm

SSH免密碼登錄詳解  http://www.linuxidc.com/Linux/2015-03/114709.htm

Copyright © Linux教程網 All Rights Reserved