有人说,安全不是一个产品,而是一个过程(LCTT注:安全公司McAfee认为,安全风险管理是一个方法论,而不是安全产品的堆叠)。虽然SSH协议被设计成使用加密技术来确保安全,但如果使用不当,别人还是能够破坏你的系统:比如弱密码、密钥泄露、使用过时的SSH客户端等,都能引发安全问题。
在考虑SSH认证方案时,大家普遍认为公钥认证比密码认证更安全。然而,公钥认证技术并不是为公共环境设置的,如果你在一台公用电脑上使用公钥认证登录SSH服务器,你的服务器已经毫无安全可言了,公用的电脑可能会记录你的公钥,或从你的内存中读取公钥。如果你不信任本地电脑,那你最好还是使用其他方式登录服务器。现在就是一次性密码(OTP)派上用场的时候了,就像名字所示,一次性密码只能被使用一次。这种一次性密码非常合适在不安全的环境下发挥作用,就算它被窃取,也无法再次使用。
有个生成一次性密码的方法是通过谷歌认证器,但在本文中,我要介绍的是另一种SSH登录方案:OTPW,它是个一次性密码登录的软件包。不像谷歌认证,OTPW不需要依赖任何第三方库。
OTPW是什么
OTPW由一次性密码生成器和PAM认证规则组成。在OTPW中一次性密码由生成器事先生成,然后由用户以某种安全的方式获得(比如打印到纸上)。另一方面,这些密码会通过Hash加密保存在SSH服务器端。当用户使用一次性密码登录系统时,OTPW的PAM模块认证这些密码,并且保证它们不能再次使用。
步骤1:OTPW的安装和配置
在Debian,Ubuntu或LinuxMint发行版上
使用apt-get安装:
复制代码