如何通過OTPW來用SSH安全登錄Linux服務器

這篇文章主要講解了“ 如何通過OTPW來用SSH安全登錄Linux服務器”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“ 如何通過OTPW來用SSH安全登錄Linux服務器”吧！

十多年的衛(wèi)東網站建設經驗，針對設計、前端、開發(fā)、售后、文案、推廣等六對一服務，響應快，48小時及時工作處理。營銷型網站的優(yōu)勢是能夠根據用戶設備顯示端的尺寸不同，自動調整衛(wèi)東建站的顯示方式，使網站能夠適用不同顯示終端，在瀏覽器中調整網站的寬度，無論在任何一種瀏覽器上瀏覽網站，都能展現優(yōu)雅布局與設計，從而大程度地提升瀏覽體驗。創(chuàng)新互聯建站從事“衛(wèi)東網站設計”,“衛(wèi)東網站推廣”以來，每個客戶項目都認真落實執(zhí)行。

有人說，安全不是一個產品，而是一個過程（LCTT 注：安全公司 McAfee 認為，安全風險管理是一個方法論，而不是安全產品的堆疊）。雖然 SSH 協議被設計成使用加密技術來確保安全，但如果使用不當，別人還是能夠破壞你的系統：比如弱密碼、密鑰泄露、使用過時的 SSH 客戶端等，都能引發(fā)安全問題。

在考慮 SSH 認證方案時，大家普遍認為公鑰認證比密碼認證更安全。然而，公鑰認證技術并不是為公共環(huán)境設置的，如果你在一臺公用電腦上使用公鑰認證登錄 SSH 服務器，你的服務器已經毫無安全可言了，公用的電腦可能會記錄你的公鑰，或從你的內存中讀取公鑰。如果你不信任本地電腦，那你最好還是使用其他方式登錄服務器?，F在就是“一次性密碼（OTP）”派上用場的時候了，就像名字所示，一次性密碼只能被使用一次。這種一次性密碼非常合適在不安全的環(huán)境下發(fā)揮作用，就算它被竊取，也無法再次使用。

有個生成一次性密碼的方法是通過谷歌認證器，但在本文中，我要介紹的是另一種 SSH 登錄方案：OTPW，它是個一次性密碼登錄的軟件包。不像谷歌認證，OTPW 不需要依賴任何第三方庫。
OTPW 是什么

OTPW 由一次性密碼生成器和 PAM 認證規(guī)則組成。在 OTPW 中一次性密碼由生成器事先生成，然后由用戶以某種安全的方式獲得（比如打印到紙上）。另一方面，這些密碼會通過 Hash 加密保存在 SSH 服務器端。當用戶使用一次性密碼登錄系統時，OTPW 的 PAM 模塊認證這些密碼，并且保證它們不能再次使用。
步驟1：OTPW 的安裝和配置
在 Debian, Ubuntu 或 Linux Mint 發(fā)行版上

使用 apt-get 安裝：   

代碼如下:

$ sudo apt-get install libpam-otpw otpw-bin

打開針對 SSH 服務的 PAM 配置文件（/etc/pam.d/sshd），注釋掉下面這行（目的是禁用 PAM 的密碼認證功能）：   

代碼如下:

#@include common-auth

添加下面兩行（用于打開一次性密碼認證功能）：   

代碼如下:

auth       required     pam_otpw.so
   session    optional     pam_otpw.so

 在 Fedora 或 CentOS/RHEL 發(fā)行版上

在基于 RedHat 的發(fā)行版中沒有編譯好的 OTPW，所以我們需要使用源代碼來安裝它。

首先，安裝編譯環(huán)境：   

代碼如下:

$ sudo yum git gcc pam-devel
   $ git clone https://www.cl.cam.ac.uk/~mgk25/git/otpw
   $ cd otpw

打開 Makefile 文件，編輯以“PAMLIB=”開頭的那行配置：

64 位系統：   

代碼如下:

PAMLIB=/usr/lib64/security

32 位系統：   

代碼如下:

PAMLIB=/usr/lib/security

編譯安裝。需要注意的是安裝過程會自動重啟 SSH 服務一下，所以如果你是使用 SSH 連接到服務器，做好被斷開連接的準備吧（LCTT 譯注：也許不會被斷開連接，即便被斷開連接，請使用原來的方式重新連接即可，現在還沒有換成一次性口令方式。）。   

代碼如下:

$ make
   $ sudo make install

現在你需要更新 SELinux 策略，因為 /usr/sbin/sshd 會往你的 home 目錄寫數據，而 SELinux 默認是不允許這么做的。如果沒有使用 SELinux 服務（LCTT 注：使用 getenforce 命令查看結果，如果是 enforcing，就是打開了 SELinux 服務），請?zhí)^這一步。   

代碼如下:

$ sudo grep sshd /var/log/audit/audit.log | audit2allow -M mypol
   $ sudo semodule -i mypol.pp

接下來打開 PAM 配置文件（/etc/pam.d/sshd），注釋下面這行（為了禁用密碼認證）：  

代碼如下:

#auth       substack     password-auth

添加下面兩行（用于打開一次性密碼認證功能）：   

代碼如下:

auth       required     pam_otpw.so
   session    optional     pam_otpw.so

步驟2：配置 SSH 服務器，使用一次性密碼

打開 /etc/ssh/sshd_config 文件，設置下面三個參數。你要確保下面的參數不會重復存在，否則 SSH 服務器可能會出現異常。

   

代碼如下:

UsePrivilegeSeparation yes
   ChallengeResponseAuthentication yes
   UsePAM yes

你還需要禁用默認的密碼認證功能。另外可以選擇開啟公鑰認證功能，那樣的話你就可以在沒有一次性密碼的時候使用公鑰進行認證。  

代碼如下:

PubkeyAuthentication yes
   PasswordAuthentication no

重啟 SSH 服務器。

Debian, Ubuntu 或 Linux Mint 發(fā)行版：   

代碼如下:

$ sudo service ssh restart

Fedora 或 CentOS/RHEL 7 發(fā)行版：   

代碼如下:

$ sudo systemctl restart sshd

（LCTT 譯注：雖然這里重啟了 sshd 服務，但是你當前的 ssh 連接應該不受影響，只是在你完成下述步驟之前，無法按照原有方式建立新的連接了。因此，保險起見，要么多開一個 ssh 連接，避免誤退出當前連接；要么將重啟 sshd 服務器步驟放到步驟3完成之后。）
步驟3：使用 OTPW 產生一次性密碼

之前提到過，你需要事先創(chuàng)建一次性密碼，并保存起來。使用 otpw-gen 命令創(chuàng)建密碼：   

代碼如下:

$ cd ~
   $ otpw-gen > temporary_password.txt

  

    這個命令會讓你輸入密碼前綴，當你以后登錄的時候，你需要同時輸入這個前綴以及一次性密碼。密碼前綴是另外一層保護，就算你的一次性密碼表被泄漏，別人也無法通過暴力破解你的 SSH 密碼。

設置好密碼前綴后，這個命令會產生 280 個一次性密碼（LCTT 譯注：保存到 ~/.otpw 下），并將它們導出到一個文本文件中（如 temporary_password.txt）。每個密碼（默認是 8 個字符）由一個 3 位十進制數索引。你需要將這個密碼表打印出來，并隨身攜帶。

查看 ./.otpw 文件，它存放了一次性密碼的 HASH 值。頭 3 位十進制數與你隨身攜帶的密碼表的索引一一對應，在你登錄 SSH 服務器的時候會被用到。   

代碼如下:

$ more ~/.otpw</p> <p>    OTPW1
   280 3 12 8
   191ai+:ENwmMqwn
   218tYRZc%PIY27a
   241ve8ns%NsHFmf
   055W4/YCauQJkr:
   102ZnJ4VWLFrk5N
   2273Xww55hteJ8Y
   1509d4b5=A64jBT
   168FWBXY%ztm9j%
   000rWUSdBYr%8UE
   037NvyryzcI+YRX
   122rEwA3GXvOk=z

測試一次性密碼登錄 SSH 服務器

使用普通的方式登錄 SSH 服務器：   

代碼如下:

$ ssh user@remote_host

如果 OTPW 成功運行，你會看到一點與平時登錄不同的地方：

  

代碼如下:

Password 191:

現在打開你的密碼表，找到索引號為 191 的密碼。   

代碼如下:

023 kBvp tq/G  079 jKEw /HRM  135 oW/c /UeB  191 fOO+ PeiD  247 vAnZ EgUt

從上表可知，191 號密碼是“fOO+PeiD”。你需要加上密碼前綴，比如你設置的前綴是“000”，則你實際需要輸入的密碼是“000fOO+PeiD”。

成功登錄后，你這次輸入的密碼自動失效。查看 ~/.otpw　文件，你會發(fā)現第一行變成“---------------”，這表示 191 號密碼失效了。   

代碼如下:

OTPW1
   280 3 12 8
   ---------------
   218tYRZc%PIY27a
   241ve8ns%NsHFmf
   055W4/YCauQJkr:
   102ZnJ4VWLFrk5N
   2273Xww55hteJ8Y
   1509d4b5=A64jBT
   168FWBXY%ztm9j%
   000rWUSdBYr%8UE
   037NvyryzcI+YRX
   122rEwA3GXvOk=z

感謝各位的閱讀，以上就是“ 如何通過OTPW來用SSH安全登錄Linux服務器”的內容了，經過本文的學習后，相信大家對 如何通過OTPW來用SSH安全登錄Linux服務器這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是創(chuàng)新互聯，小編將為大家推送更多相關知識點的文章，歡迎關注！

本文名稱：如何通過OTPW來用SSH安全登錄Linux服務器
轉載來于：http://muchs.cn/article44/pdjgee.html

成都網站建設公司_創(chuàng)新互聯，為您提供定制開發(fā)、用戶體驗、小程序開發(fā)、Google、響應式網站、建站公司

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯