从不受信任的计算机登录远程系统肯定不是一个好主意。但有时这绝对是必要的。当然,暴露未加密的 SSH 密钥文件是不行的。输入常规密码也不行。
S/Key 似乎是“常用”的解决方案,但它要求严格遵循列表中的密码顺序。这对于共享帐户来说是不可取的,因为各方都需要同步使用列表。
有没有办法制作对使用顺序没有要求的 OTP?还有其他想法吗?
背景:两个管理员共用一个帐户。应向另一个管理员提供密封的“紧急信封”,其中包含该帐户的信息。只有在其他管理员无法使用时才允许打开封条。
答案1
我们用奥特普劳为此。简单的实现。易于复制密码列表。系统按数字请求密码,因此尝试保持列表同步没有问题。
答案2
S/Key 是这种情况的理想选择,但您需要做更多的工作。
为每个紧急信封创建特殊帐户。这些帐户将添加到 sudoers 中,并可以担任 root 角色。这为您提供了应有的审计跟踪(每个信封一个帐户,每个用户一个信封)和所需的灵活性。
紧急情况发生后,管理员必须带回信封以备下一个密码,这为您提供了审计跟踪。
答案3
我已经成为 Yubikey 的粉丝有一段时间了。