Настоящие одноразовые пароли (OTP) в Linux, кроме S / Key? [закрыто]
Конечно, входить в удаленную систему с ненадежного компьютера - плохая идея. Но иногда это просто необходимо. Разумеется, раскрытие незашифрованного ключевого файла SSH - не вариант. Ввод обычного пароля тоже нет.
S / Key кажется "обычным" решением, но требует строгого соблюдения порядка паролей в списке. Это нежелательно для общих учетных записей, поскольку все стороны должны будут синхронизировать использование списка.
Есть ли способ сделать одноразовые пароли без требований к порядку использования? Другие идеи?
Предыстория: два администратора имеют общую учетную запись. Другой должен получить «аварийный конверт», который запечатан и содержит информацию для этого аккаунта. Нарушение печати разрешено только в случае, если другие админы недоступны.
Мы используем OTPW для этого. Простая реализация. Легкий копировать список паролей. Система запрашивает пароли числом, таким образом, никакие проблемы, пытающиеся сохранять списки в синхронизации.
-
1Это точно, что я искал. Существуют даже пакеты для Ubuntu Hardy. Я был бы upvote, но can' t (все же). – Paul 31 August 2009 в 18:02
-
2Нашими производственными системами является Hardy, таким образом, я могу сказать с уверенностью, что это работает хорошо над той платформой. И даже при том, что Вы не можете к upvote, Вы можете " accept" ответ... :) – Insyte 1 September 2009 в 03:31
S/Key идеален для этого сценария, но необходимо сделать немного больше работы.
Создайте специальные счета на каждый чрезвычайный конверт. Те учетные записи добавляются к sudoers и могут принять корень. Это дает Вам журнал аудита, который Вы должны иметь (одна учетная запись на конверт, один конверт на пользователя) и гибкость, в которой Вы нуждаетесь.
После чрезвычайной ситуации администратор должен возвратить конверт для следующего пароля, который дает Вам журнал аудита.
-
1Не точно, что я хочу, но благодарю отметить недостающий журнал аудита, если учетные записи совместно используются. – Paul 31 August 2009 в 18:16
-
2Присвоение двух логинов той же опции UID, что предложенный Joe H. является, вероятно, лучшим планом действий затем. – duffbeer703 31 August 2009 в 19:16
Проблема, кажется, что Вы пытаетесь использовать учетные записи группы. Я вижу две возможности
- Отдельные логины для каждого пользователя, и затем имеют их su в общую учетную запись.
- Если ОС поддерживает его, присвойте двум логинам тот же номер UID.
Во втором случае необходимо будет протестировать what's/key, думает, что пользователь (UID или число UID) и если можно присвоить каждому входу в систему отдельный список.
(Я признаю - я никогда не пробовал № 2 в Linux, но мы раньше использовали его давным-давно, чтобы дать операторам альтернативную оболочку, которая была на самом деле системой меню для них для выполнения некоторых фиксированных команд как корня. В эти дни Вы просто сделали бы это w/sudo),
-
1Я также. Я вхожу в систему BSD, поля Linux и Solaris с Yubikey. Дешевый и потрясающий. – Thomas 30 August 2009 в 13:05
-
2YubiPAM обеспечивает модуль офлайнового PAM, поскольку Вы ожидали бы это. Аппаратные средства кажутся гладкими. Не очищаются, если необходимое устройство хранения данных AES включает целевой компьютер, подразумевает риск для целостности Yubikey (т.е. вход в систему без Yubikey может быть достигнут при наличии ключа AES). – Paul 31 August 2009 в 18:38
смотрите на мобильный-телефон-otp - это - 'дешевый' мягкий маркер, можно работать на способном к Java мобильном телефоне. я использовал его успешно только с веб-приложениями, но поскольку я вижу, что у них есть pam модуль также.
альтернативно существует wikid, но я никогда не использовал этого.
Другая альтернатива устойчивой аутентификации была бы RSA SecurID.
Профессионалы: Много факторов для выбора из, от "классического" keyfob устройства, к программным токенам (включая iPhone!) к "OnDemand" (т.е. коды OTP, отправленные по SMS/электронной почте), именно это я, вероятно, использовал бы для этого случая. (т.е., у Вас есть все "опции", упомянутые в статье),
Профессионалы: Легкий интегрироваться почти с любой системой, включая сильному автору в большинство систем
Профессионалы: Простой в использовании, от военнопленного конечного пользователя.
Недостатки: Цена. Это не самое дешевое решение на рынке.
Это старая ветка, но кто-то может на нее наткнуться. Есть два интересных требования:
одна учетная запись, разделяемая несколькими людьми
аварийный envolope, который, я думаю, должен работать только один раз.
LinOTP может справиться с этим. Вы можете назначить одному пользователю несколько разных токенов OTP разных производителей. (требование 1)
Дополнительно вы можете создать маркер фиксированного пароля. Положите это в конверт. Теперь самое интересное: вы можете определить, как часто токен может использоваться для успешной аутентификации. Таким образом, вы можете установить это значение = 1 для этого токена аварийного конверта (требуется 2)
Я не понимаю, почему стандартный S / Key не соответствует вашим требованиям.
Каждый раз, когда кто-то входит в систему, он отправляет им видимый «запрос», который включает порядковый номер желаемого пароля. Дается достаточно информации, чтобы выяснить, какая строка распечатанного списка одноразовых паролей запрашивается ... без какой-либо координации с любым другим пользователем, использующим учетную запись. (Другой способ взглянуть на это - вся необходимая координация обеспечивается самим компьютером, без необходимости для нескольких пользователей когда-либо разговаривать друг с другом.) Точно так же имеется достаточно информации (как порядковый номер, так и начальное значение), чтобы передать ее в программа для восстановления запрошенного пароля (если, конечно, вы знаете секрет).
Конверт может содержать либо еще одну распечатанную копию всего списка одноразовых паролей, либо исходный (не скей) пароль, который все еще работает. (Конечно, для максимальной безопасности, если конверт когда-либо открывается, вы хотите изменить все, что в нем содержится [либо последовательность одноразовых паролей, либо исходный пароль].)
Таким образом, skey, похоже, легко выполняет оба требования. Скажите еще раз, почему вы ищете что-то другое?