Linux服务器一直以稳定、高效、安全着称。安全是一个比较重要的环节,关系到商业机密,更关系到企业的生死存亡。本文介绍如何使用optw生成一次性密码,只允许执行特定命令。翻译如下:我想让我的朋友登录我的服务器下载一些数据,但是他只允许登录10次。登录后只允许执行scp命令,不允许做其他事情,怎么办?综上,做了以下两件事:生成一次性密码,只允许用户执行scp任务实现目标1:生成一次性密码安装otpwsudoapt-getinstallotpw-binlibpam-otpwconfigurecommon-authnano/etc/pam.d/common-auth寻找以下行:auth[success=1default=ignore]pam_unix.sonullok_secure在上面一行添加:authsufficientpam_otpw.sosessionoptionalpam_otpw.souserlogin,首先尝试使用一次性密码登录,如果登录失败,请使用正常登录方法。配置sshd服务,添加otpw配置文件:nano/etc/pam.d/otpw内容如下:authsufficientpam_otpw.sosessionoptionalpam_otpw.so配置sshd配置文件,包含otpw配置文件:nano/etc/pam.d/sshd找到:@includecommon-auth在上面一行添加一行:@includeotpw修改sshd配置文件后,确保以下3个参数设置为yes:UsePrivilegeSeparationyesChallengeResponseAuthenticationyesUsePAMyes重启sshd服务servicesshrestart这是基本的otpw配置。确保只有在主目录中有文件配置文件(~/.otpw)的用户才会启用用户一次性密码身份验证。所有其他用户不会受到影响。下列表命令生成4个一次性口令:otpw-gen-h5-w64下列表命令生成10个一次性口令:otpw-gen-h6-w79命令输出如下:Generatingrandomseed...如果你的纸质密码列表被盗,窃贼不应仅凭此信息访问您的帐户。因此,您需要记住并输入下面的前缀密码。每次输入一次性密码(在同一行)之前,您都必须直接输入该密码。登录时,将显示一个3位密码。它标识列表中必须附加到前缀密码的一次性密码。如果您的帐户正在同时进行另一个登录,则可能会显示多个密码,并且所有相应的密码都必须附加在前缀密码之后。最好在旧密码列表用完一半时生成新密码列表。覆盖现有密码列表'~/.otpw'(是/否)?输入新前缀密码:重新输入前缀密码:创建'~/.otpw'。生成g新的一次性密码...OTPW列表生成于2014-02-2701:31onkali000IT4UV3Bk002cfFEg=Gj004+2MLFf92006kaagAr:Y008VZY8iGsp0019H7naPhV003fcIJzf/P005QxqfOhgF007zPY/QJOV009:N7K3zEu!!!请记住:首先输入前缀密码!!!SSH登录:登录为:testUsingkeyboard-interactiveauthentication。密码003:Linuxdebian3.2.0-4-686-pae#1SMPDebian3.2.46-1i686DebianGNU/Linux系统自带的程序是免费软件;每个程序的确切分发条款在/usr/share/doc/*/copyright中的各个文件中进行了描述。在适用法律允许的范围内,DebianGNU/Linux绝对不提供任何保证。上次登录:20年7月9日星期二:03:232013from192.168.200.10test@debian:~$如果你的前缀密码是"pass",那么实际输入的密码003是:passfcIJzf/P(前缀密码后不需要输入空格)创建optw一次性密码用户组并添加用户:addgroupoptwaddusertestoptw修改文件权限:chownroot:optw/home/test/.otpwchmod640/home/test/.otpw禁止其他用户重设密码:chmod750/usr/bin/otpw-gen目标2.限制用户只能执行scp任务:apt-getinstallrsshapt-getinstallscponly两个定制的shell分别完成以下任务:rssh限制用户行为scponlyonlyscpcommands一个shell。现在,您可以修改用户的shell:usermod-s/usr/sbin/scponlytestusermod-s/usr/sbin/rsshtest并且您可以确认rssh完全下降:nano/etc/rssh.confContent:#Leavetheseallcommentedouttomakethedefaultactionforrsshtolock#usersoutcompletely。..allowscp#allowsftp#allowcvs#allowrdist#allowrsync#allowsvnserve#ifourchroot_pathcontainsspaces,它必须被引用...#Inthefollowingexamples,thechroot_pathis"/usr/local/mychroot"user=test:011:000010:"/opt/scpspace/testchroot"#scpwithchroot译者注:1.optw是linux上一次性密码的开源实现,类似于RSA公司的SecureID功能。2.rssh是一个有限的shell,提供了很多有用的功能。配置简单。[翻译自vpsboard]
