Ssh
S/Key 以外的 Linux 上的真實一次性密碼 (OTP)?
當然,從不受信任的電腦登錄到遠端系統不是一個好主意。但有時這顯然是必要的。暴露未加密的 SSH 密鑰文件當然是不可取的。輸入正常密碼也沒有。
S/Key 似乎是“通常”的解決方案,但它需要嚴格遵循列表中的密碼順序。這對於共享帳戶是不可取的,因為所有各方都需要同步使用列表。
有什麼方法可以製作對使用順序沒有要求的 OTP?其他想法?
背景:兩個管理員共享一個帳戶。應給另一個人一個“緊急信封”,該信封已密封並包含該帳戶的資訊。只有在其他管理員不可用的情況下才允許打破封印。
我們為此使用OTPW。簡單的實現。易於複製密碼列表。系統按數字請求密碼,因此嘗試保持列表同步沒有問題。
S/Key 非常適合這種情況,但您需要做更多的工作。
為每個緊急信封創建特殊帳戶。這些帳戶被添加到 sudoers 並且可以假定為 root。這為您提供了您應該擁有的審計跟踪(每個信封一個帳戶,每個使用者一個信封)和您需要的靈活性。
緊急情況發生後,管理員必須帶回下一個密碼的信封,以便為您提供審計線索。