- Linux服务器认证现状描述 Linux/UNIX由于其性能及安全性原因,被绝大部分企业采纳作为其作为可信的服务器系统,用以存储核心信息及重要服务。PAM(Pluggable Authentication Modules)即可插拔式认证模块,它是一种高效而且灵活便利的用户级别的认证方式,它也是当前Linux服务器普遍使用的认证方式,然而PAM本身采用账号+静态密码认证机制,静态密码方式存在三个弊端:
- 目标 (1)为管理员远程和本地登陆服务器增加动态密码保护,提升服务器认证安全
(1)弱口令或设置相同的密码,容易导致服务器被非授权用户访问,一些重要的服务器如数据库、核心服务等,容易导致企业或客户核心资源泄露;
(2)定期更换高强度登陆密码,使得密码管理成本提升;
(3)无法实现服务器集中登陆审计。
(2)支持更高强度登陆,如一个帐号同时绑定多块令牌认证,只有多块令牌同时正确输入,才能够登入服务器。
- 解决方案 将动态密码结合PAM认证方案,在PAM静态密码认证基础之上,增加一层动态密码(该密码是由硬件令牌产生,每隔60秒变化一次,密码一次使用有效)认证,系统管理员本地和远程访问服务器时,在输入的帐号+静态密码认证通过之后,还需输入动态令牌上显示的一次性密码,只有静态密码、动态密码都认证通过,才可成功登入系统,提升服务器登录安全。
该方案支持所有Linux、UNIX、类UNIX服务器系统,真正做到即配即用,无需重启服务器即可实时生效。
下面从宁盾实施过的服务器结合动态密码认证案例中,提炼出客户的典型应用场景及描述其具体解决方案:
(1)多动态密码组合登陆服务器:只有同时输入由多个管理员手持的令牌显示的动态密码并提交验证成功,才可完成服务器的登入,此需求针对用户核心服务器如数据库。
(2)服务器集群结合动态密码登陆:此种大部分由客户托管在机房的服务器客户或IDC的IT管理人员采用,DKEY动态密码认证方案,支持并且绝大部分是采用SSH 登陆,该方案支持服务器证书和口令两种方式登陆,实施案例可以参考文章《帝联股份采用宁盾DKEY动态密码认证解决方案》。
(3)跳板机结合动态密码登陆:用户借助跳板机来访问宿主机,当宿主机数量较多情况下,有些时候为了方便批操作,客户机采用证书登陆以节省输入账号+口令环节。
描述:
(1)部署DKEY动态密码认证软件DKEY TMS,从高可靠性考虑,建议采用双机热备;
(2)为需要采用动态密码认证的Linux服务器配置DKEY PAM Agent,与DKEY动态密码认证软件互操作。
(3)在DKEY TMS添加用户与动态令牌的绑定关系,即可完成集成。
SSH远程访问
以ubuntu服务器的root用户为例,连接SSH,在第一次提示输入密码时输入该用户的静态密码,在第二次提示输入密码时输入该用户绑定的令牌的动态密码:
- 支持矩阵 DKEY动态密码认证可以支持IBM-AIX、HP-UNIX、Solaris、FreeBSD、RHEL、Fedora 、Ubuntu 、Suse、CentOS等Linux/UNIX服务器系统。
- 结语
针对目前部分汉化开源远程服务器管理软件PuTTY、WinSCP、SSH Secure等被爆内置后门,盗取服务器登陆账号事件,动态密码认证确实是一个有力的应对措施,由于动态密码是一次使用有效且生命周期为60秒,即使账号密码被盗,其一次性密码已经过期,后续访问由于非授权用户由于无法获取绑定令牌,即无法成功登陆服务器,因此大大降低服务器非授权访问而导致的信息泄露风险的几率。
从宁盾实施经验来看,目前客户主要采用硬件令牌方式产生动态密码,由于它无需插入电脑,无需在服务器系统上安装任何插件,因此是一种高可靠、便捷的认证手段,支持远程访问服务器。
更多动态密码认证解决方案,请访问宁盾科技官方网站: http://www.ndkey.com
