linux下利用一次性口令实现安全管理

作者 黑狐 [译自vpsboard]

Linux服务器一直就是以稳定、高效、安全而著称。安全是比较重要的一个环节,这关系到商业机密,更关系到企业的存亡。本文介绍了如何使用optw生成一次性口令及只允许执行特定命令,以下为译文:

我想允许我的朋友登录我的服务器下载一些资料,但是只允许他登录10次,登陆后只允许执行scp命令,不许干别的事情,该怎么办呢?

归纳起来,完成以下2件事情:

  1. 生成一次性口令
  2. 只允许用户执行scp任务

实现目标1:生成一次性口令

安装otpw

sudo apt-get install otpw-bin libpam-otpw

配置common-auth

nano /etc/pam.d/common-auth

查找以下行:

auth [success=1 default=ignore] pam_unix.so nullok_secure

在上述行上加入:

auth       sufficient pam_otpw.so
session    optional   pam_otpw.so

用户登录时,首先尝试使用一次性口令登录,失败后,使用正常登录方法。

配置sshd服务

增加一个otpw配置文件:

nano /etc/pam.d/otpw

内容如下:

auth           sufficient      pam_otpw.so
session        optional        pam_otpw.so

配置sshd配置文件包含otpw配置文件:

nano /etc/pam.d/sshd

查找:

@include common-auth

在上述行上增加一行:

@include otpw

修改sshd配置文件后,确保以下3个参数设置为yes:

UsePrivilegeSeparation yes
ChallengeResponseAuthentication yes
UsePAM yes

重新启动sshd服务

service ssh restart

这是基本的otpw配置. 确保用户home目录下存在文件配置文件 (~/.otpw) 的用户才会启用一次性口令认证. 所有其它用户不受影响。

下列命令产生4个一次性口令:

otpw-gen -h 5 -w 64

下列命令产生10个一次性口令:

otpw-gen -h 6 -w 79

命令输出如下:

Generating random seed ...

If your paper password list is stolen, the thief should not gain
access to your account with this information alone. Therefore, you
need to memorize and enter below a prefix password. You will have to
enter that each time directly before entering the one-time password
(on the same line).

When you log in, a 3-digit password number will be displayed.  It
identifies the one-time password on your list that you have to append
to the prefix password. If another login to your account is in progress
at the same time, several password numbers may be shown and all
corresponding passwords have to be appended after the prefix
password. Best generate a new password list when you have used up half
of the old one.

Overwrite existing password list '~/.otpw' (Y/n)? 

Enter new prefix password: 
Reenter prefix password: 

Creating '~/.otpw'.
Generating new one-time passwords ...

OTPW list generated 2014-02-27 01:31 on kali

000 IT4U V3Bk  002 cfFE g=Gj  004 +2ML Ff92  006 kaag Ar:Y  008 VZY8 iGsp
001 9H7n aPhV  003 fcIJ zf/P  005 Qxqf OhgF  007 zPY/ QJOV  009 :N7K 3zEu

            !!! REMEMBER: Enter the PREFIX PASSWORD first !!!

SSH登录:

login as: test
Using keyboard-interactive authentication.
Password 003:
Linux debian 3.2.0-4-686-pae #1 SMP Debian 3.2.46-1 i686
The programs included with the Debian GNU/Linux system are free software;the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Tue Jul  9 20:03:23 2013 from 192.168.200.10
test@debian:~$

如果你的前缀口令是 "pass" 实际输入的003号密码是:

passfcIJ zf/P

(前缀密码后不需要输入空格)。

创建optw一次性口令的用户组并添加用户:

addgroup optw
adduser test optw

修改文件权限:

chown root:optw /home/test/.otpw
chmod 640 /home/test/.otpw

禁止其它用户重置口令:

chmod 750 /usr/bin/otpw-gen

目标2.限制用户只允许执行scp任务:

apt-get install rssh
apt-get install scponly

2个定制的shell分别完成以下任务:

rssh限制用户的行为
scponly时仅有scp命令的一个shell.

现在,可以修改用户的shell:

usermod -s /usr/sbin/scponly test
usermod -s /usr/sbin/rssh test

And you can confiure rssh quite descent:

nano /etc/rssh.conf

Content:

# Leave these all commented out to make the default action for rssh to lock
# users out completely...
allowscp
#allowsftp
#allowcvs
#allowrdist
#allowrsync
#allowsvnserve
# if your chroot_path contains spaces, it must be quoted...
# In the following examples, the chroot_path is "/usr/local/my chroot"
user=test:011:000010:"/opt/scpspace/test chroot"  # scp with chroot

译者注:

1、optw是linux上的一次性口令的开源实现,类似于RSA公司Secure ID功能。 2、rssh是受限的shell,提供许多实用的功能。配置简单。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-03-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏闻道于事

前后端分离之JWT用户认证(转)

在前后端分离开发时为什么需要用户认证呢?原因是由于HTTP协定是不储存状态的(stateless),这意味着当我们透过帐号密码验证一个使用者时,当下一个requ...

25410
来自专栏Android 开发者

[译] 在 Android P 中使用默认的 TLS 来保护你的用户

26330
来自专栏电光石火

tengine+tomcat+php安装

在安装tengine之前,确认centos环境中有无gcc、pcre、openssl,如果没有按以下命令进行安装 #yum install gcc #yu...

249100
来自专栏流柯技术学院

通过Google身份验证器加强Linux帐户安全

而后,google的验证模块就会被复制到/lib64/security目录下,而用来生成密钥的可执行程序:google-authenticator,则复制到/u...

16910
来自专栏电光石火

tengine+tomcat+php安装

在安装tengine之前,确认centos环境中有无gcc、pcre、openssl,如果没有按以下命令进行安装

26270
来自专栏云计算教程系列

如何使用CentOS 7上的Let's Encrypt来保护Apache

本教程将向您展示如何在运行Apache作为Web服务器的CentOS 7服务器上设置来自Let's Encrypt的TLS / SSL证书。此外,我们将介绍如何...

33900
来自专栏WindCoder

JSON Web Token(JWT)教程:一个基于Laravel和AngularJS的例子

这是一篇介绍JSON Web Token(JWT)的文章,虽然可能用到的例子和Laravel和AngularJS有关,但知道了原理便能写出适用于自己的。同时,由...

48810
来自专栏阿杜的世界

Web应用安全

认证可以防止“假冒者”攻击,授权可以防止“非法升级者”攻击,机密性和数据完整性可以防止“窃听者”攻击。

13530
来自专栏我的小碗汤

浅谈json web token及应用

Json Web Token (JWT),是一个非常轻巧的规范,这个规范允许在网络应用环境间客户端和服务器间较安全的传递信息。该token被设计为紧凑且安全的,...

13330
来自专栏FreeBuf

如何在macOS上监听单个应用HTTPS流量

写在前面的话 如果你准备对网络协议进行逆向分析或进行任何与网络安全有关的活动时,可能是为了了解协议运行机制,也有可能是为了查找敏感信息,你或多或少都需要收集一定...

28150

扫码关注云+社区

领取腾讯云代金券