日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

76 FreeBSD連載:設置基本系統(tǒng)( 四 )

云知道


更改S/key種子仍然還需要使用keyinit命令,然而此時有了一次性口令,就不需要在安全的終端上進行了,需要使用-s參數(shù),使得keyinit使用一次性口令來獲得S/key口令短語,而不必直接輸入S/key口令短語 。只要保證S/key口令短語的安全,就能保證整個S/key一次性口令序列不會被再現(xiàn) 。
bash-2.02$ keyinit -sUpdating wb:Old key: de415502Reminder you need the 6 english words from the key command.Enter sequence count from 1 to 9999: 100Enter new key [default de415503]:s/key 100 de415503s/key access password: GAS SAM RUSK BASH NEWS WAITID wb s/key is 100 de415503GAS SAM RUSK BASH NEWS WAITkeyinit -s命令中,需要輸入一次性口令序列中口令的數(shù)量,以及新種子的值 。而用于認證的S/key一次性口令為提示的一次性口令,這里為de415503,序列號為100 。
需要注意的是,缺省情況下即使使用S/key認證,原有的Unix口令認證方式仍然有效,如果S/key認證不成功,系統(tǒng)就接下來使用原有的老Unix口令認證方式 。對于一些圖形界面的應用程序,不能提示S/key口令的序列號,那么用戶也無法輸入正確的一次性口令,此時使用老口令就有必要了 。
然而,也能限制用戶必須使用S/key口令,不能使用普通Unix明文口令,以更大程度上增強安全性 。為了強制用戶使用S/key口令,需要創(chuàng)建一個/etc/skey.access文件 。
# touch /etc/skey.access當存在這個文件時,S/key認證系統(tǒng)就不再調用標準Unix認證系統(tǒng) 。然而這個文件中可以設置一些例外的情況,允許使用Unix認證系統(tǒng),例如在內部網絡中允許使用Unix明文認證系統(tǒng),等等 。針對IP地址、用戶和終端來設置可以使用Unix明文認證系統(tǒng)的權力 。針對用戶打開這個設置的情況一般是因為該用戶不需要特別安全的情況,針對終端打開這個設置的情況通常發(fā)生在撥號訪問FreeBSD系統(tǒng)的情況,由于認證口令不通過網絡,因此也不需要S/key加密 。
permit internet 198.162.0.0 255.255.0.0permit user aaapermit port ttyd0對于一些需要自動進行認證的應用程序,需要將口令暫時保存起來,定時自動進行認證工作,但由于S/key的口令是一次性方式的,而客戶軟件不能根據(jù)S/key的提示,輸入正確的口令,此時使用老口令也是必要的 。如有些使用POP3協(xié)議的客戶端能定時從郵件服務器中下載郵件,這樣就必須使用標準Unix口令 。顯然這明顯是一個非常嚴重的安全漏洞,特別是明文口令不但是在網絡上傳輸,而且是定時、多次傳輸?shù)臅r候,問題更為明顯 。對于這樣的情況,最好立即轉換為支持加密口令的協(xié)議,對POP3來講可以使用APOP協(xié)議 。
FreeBSD下使用的另一種安全認證方式為Kerberos方式,這是一種安全的認證模式,然而它需要客戶和服務器都支持這個認證方式才行 。當前流行的Kerberos為Kerberos V,而FreeBSD下使用的為Kerberos IV,因此與其他Kerberos客戶存在兼容的問題,使得這個認證系統(tǒng)大部分情況下用于多臺FreeBSD系統(tǒng)之間進行認證 。這里就不再介紹其使用方法了,需要使用這個能力的用戶可以查看FreeBSD Handbook,以獲得相關的內容 。
FreeBSD下也可以安裝Kerberos V認證系統(tǒng),它位于Posts Collecion中的security部分中 。
可加載認證模塊PAM
3.1-release之后的FreeBSD版本支持可加載的認證方式模塊PAM,這種機制能使得系統(tǒng)能非常靈活的支持多種認證方式,具備非常大的可擴展性 。PAM的設置文件為/etc/pam.conf,這里定義了各種條件下使用的認證方式 。
# Configuration file for Pluggable Authentication Modules (PAM).## This file controls the authentication methods that login and other# utilitIEs use.See pam(8) for a description of its format.## Note: the final entry must say "required" -- otherwise, things don"t# work quite right.If you delete the final entry, be sure to change# "sufficient" to "required" in the entry before it.## $FreeBSD: src/etc/pam.conf,v 1.1 1998/11/20 23:20:01 jdp Exp $# If the user can authenticate with S/Key, that"s sufficient.login auth sufficient pam_skey.so# Check skey.access to make sure it is OK to let the user type in# a cleartext password.If not, then fail right here.login auth requisite pam_cleartext_pass_ok.so# If you want KerberosIV authentication, uncomment the next line:#login auth sufficient pam_kerberosIV.sotry_first_pass# Traditional getpwnam() authentication.login auth required pam_unix.sotry_first_pass這是系統(tǒng)缺省的pam.conf文件,這里定義了三個認證過程,按照順序系統(tǒng)將首先使用pam_skey.so,然后pam_cleartext_pass_ok.so,最后是標準unix認證pam_unix.so 。第一個是用于使用S/key系統(tǒng)認證,第二個不是一個認證,而是用于限制用戶訪問的,它檢查/etc/skey.access,以禁止非許可的節(jié)點、用戶登錄,因此其第三個參數(shù)為requisite,而非pam_skey.so對應的sufficient,如果第二個設置許可,才能進入第三項定義的標準Unix認證方式 。

推薦閱讀