Конечно, входить в удаленную систему с ненадежного компьютера - плохая идея. Но иногда это просто необходимо. Разумеется, раскрытие незашифрованного ключевого файла SSH - не вариант. Ввод обычного пароля тоже нет.
S / Key кажется "обычным" решением, но требует строгого соблюдения порядка паролей в списке. Это нежелательно для общих учетных записей, поскольку все стороны должны будут синхронизировать использование списка.
Есть ли способ сделать одноразовые пароли без требований к порядку использования? Другие идеи?
Предыстория: два администратора имеют общую учетную запись. Другой должен получить «аварийный конверт», который запечатан и содержит информацию для этого аккаунта. Нарушение печати разрешено только в случае, если другие админы недоступны.
Мы используем OTPW для этого. Простая реализация. Легкий копировать список паролей. Система запрашивает пароли числом, таким образом, никакие проблемы, пытающиеся сохранять списки в синхронизации.
S/Key идеален для этого сценария, но необходимо сделать немного больше работы.
Создайте специальные счета на каждый чрезвычайный конверт. Те учетные записи добавляются к sudoers и могут принять корень. Это дает Вам журнал аудита, который Вы должны иметь (одна учетная запись на конверт, один конверт на пользователя) и гибкость, в которой Вы нуждаетесь.
После чрезвычайной ситуации администратор должен возвратить конверт для следующего пароля, который дает Вам журнал аудита.
Проблема, кажется, что Вы пытаетесь использовать учетные записи группы. Я вижу две возможности
Во втором случае необходимо будет протестировать what's/key, думает, что пользователь (UID или число UID) и если можно присвоить каждому входу в систему отдельный список.
(Я признаю - я никогда не пробовал № 2 в Linux, но мы раньше использовали его давным-давно, чтобы дать операторам альтернативную оболочку, которая была на самом деле системой меню для них для выполнения некоторых фиксированных команд как корня. В эти дни Вы просто сделали бы это w/sudo),
смотрите на мобильный-телефон-otp - это - 'дешевый' мягкий маркер, можно работать на способном к Java мобильном телефоне. я использовал его успешно только с веб-приложениями, но поскольку я вижу, что у них есть pam модуль также.
альтернативно существует wikid, но я никогда не использовал этого.
Другая альтернатива устойчивой аутентификации была бы RSA SecurID.
Профессионалы: Много факторов для выбора из, от "классического" keyfob устройства, к программным токенам (включая iPhone!) к "OnDemand" (т.е. коды OTP, отправленные по SMS/электронной почте), именно это я, вероятно, использовал бы для этого случая. (т.е., у Вас есть все "опции", упомянутые в статье),
Профессионалы: Легкий интегрироваться почти с любой системой, включая сильному автору в большинство систем
Профессионалы: Простой в использовании, от военнопленного конечного пользователя.
Недостатки: Цена. Это не самое дешевое решение на рынке.
Это старая ветка, но кто-то может на нее наткнуться. Есть два интересных требования:
одна учетная запись, разделяемая несколькими людьми
аварийный envolope, который, я думаю, должен работать только один раз.
LinOTP может справиться с этим. Вы можете назначить одному пользователю несколько разных токенов OTP разных производителей. (требование 1)
Дополнительно вы можете создать маркер фиксированного пароля. Положите это в конверт. Теперь самое интересное: вы можете определить, как часто токен может использоваться для успешной аутентификации. Таким образом, вы можете установить это значение = 1 для этого токена аварийного конверта (требуется 2)
Я не понимаю, почему стандартный S / Key не соответствует вашим требованиям.
Каждый раз, когда кто-то входит в систему, он отправляет им видимый «запрос», который включает порядковый номер желаемого пароля. Дается достаточно информации, чтобы выяснить, какая строка распечатанного списка одноразовых паролей запрашивается ... без какой-либо координации с любым другим пользователем, использующим учетную запись. (Другой способ взглянуть на это - вся необходимая координация обеспечивается самим компьютером, без необходимости для нескольких пользователей когда-либо разговаривать друг с другом.) Точно так же имеется достаточно информации (как порядковый номер, так и начальное значение), чтобы передать ее в программа для восстановления запрошенного пароля (если, конечно, вы знаете секрет).
Конверт может содержать либо еще одну распечатанную копию всего списка одноразовых паролей, либо исходный (не скей) пароль, который все еще работает. (Конечно, для максимальной безопасности, если конверт когда-либо открывается, вы хотите изменить все, что в нем содержится [либо последовательность одноразовых паролей, либо исходный пароль].)
Таким образом, skey, похоже, легко выполняет оба требования. Скажите еще раз, почему вы ищете что-то другое?