FreeBSD handbook中文版 10 安全(6)

Connected to example.com
Escape character is '^]'.
FreeBSD/i386 (example.com) (ttypa)
login: <username>
s/key 97 fw13894
Password:
另外，S/key 有一个很有用的特性：如果你在密码行键入return 键，登陆程序将会把
键入的密码显示出来，所以你可以看到你键入的密码。如果你试图手工键入一个S/key，这
个非常有用。如果这台机器被配置成通过一个来自源机器的连接不接受unix 密码，命令行
也将包括注意（S/key 必须），指出只有s/key 一次性密码将被接受。
基于这点，你必须产生你的一次性密码来回答这个登陆命令。这必须在一个可以运行密
码命令的可信任的系统上做。密码程序既需要反复计算数和种子，也需要命令行选项。你可
以从你登陆的机器的命令行剪切和粘贴这些选项。
在可信任的系统上：
% key 97 fw13894
FreeBSD 使用手册
第15 页FreeBSD 使用手册
Reminder - Do not use this program while logged in via telnet or rlogin.
Enter secret password:
WELD LIP ACTS ENDS ME HAAG
现在，你已经有了可以继续登陆的一次性密码：
login: <username>
s/key 97 fw13894
Password: <return to enable echo>
s/key 97 fw13894
Password [echo on]: WELD LIP ACTS ENDS ME HAAG
Last login: Tue Mar 21 11:56:41 from 10.0.0.2 ...
如果你有一个可信任的系统，这是最容易的机制。有一个java S/key 密码小程序，The
Java OTP Calculator，你可以下载和在本地支持java 的浏览器中运行。
10.5.4 产生多个一次性密码
有时，你会来到你不能访问一个可信任的机器或安全连接的地方。在这个例子中，可以
使用密码命令来产生许多一次性密码，例如：
% key -n 5 30 zz99999
Reminder - Do not use this program while logged in via telnet or rlogin.
Enter secret password: <secret password>
26: SODA RUDE LEA LIND BUDD SILT
27: JILT SPY DUTY GLOW COWL ROT
28: THEM OW COLA RUNT BONG SCOT
29: COT MASH BARR BRIM NAN FLAG
第16 页FreeBSD 使用手册
30: CAN KNEE CAST NAME FOLK BILK
-n 5 按顺序请求5 个密匙，30 指定了最后的反复计算的号码是什么。注意这些将按与
实际相反的顺序打印出来。如果你是一个偏执狂，你可以手工写下这些结果；否则你可以打
印出来。注意，每一行都显示了重复计算数和一次性的密码。
10.5.5 Unix 密码的限制使用
这种限制可能是基于主机名，用户名，终端口，或登陆时的IP 地址的unix 密码的使用。
这些限制可以在配置文件/etc/skey.access 中找到。skey.access 的联机手册中，有这个文
件的完整格式和细节。
如果没有/etc/skey.access 文件（这是FreeBSD 默认的），那所有的用户将被允许使
用unix 密码。如果文件存在，那所有的用户将被要求使用s/key，除非明确地允许这样做。
在所有的案例中，unix 密码是允许用在控制台的。
这儿是一个配置文件的例子，下面举三种普通使用的配置例子：
permit internet 192.168.0.0 255.255.0.0
permit user fnord
permit port ttyd0
第一行允许他的Ip 源地址与指定的值和掩码相配的用户使用unix 密码。这不应当被认
为是一种安全的机制，但应当提醒那些使用不安全连接的网络的用户必须使用s/key 验证。
第二行允许指定用户名在任何时候使用unix 密码，在这个例子中是fnord。一般来讲，
这将被那些不能使用密码程序的人或不可教育的人来使用。
第三行允许所有的通过指定的终端行登陆的用户使用unix 密码；这将被用在拨号中。
10.6 Kerberos
Kerberos 是一个网络附加系统/协议，可以允许用户通过一个安全服务器的服务来验证
他们自己。象远程登陆，远程拷贝，系统间的相互文件拷贝和其他高风险任务的服务将被变
得相当安全和可控制。
下面的文章将用来指导你如何为FreeBSD 设置Kerberos。你也可以参考相关的联机手册
第17 页FreeBSD 使用手册
了解更详细的说明。
在FreeBSD 中，Kerberos 不是来自最初的4.4BSD-Lite，而是eBones，来自于USA/Canada
以外的地区，那些受到美国加密代码出口限制的国家就可以使用它。
10.6.1 创建最初的数据库
这只可以由Kerberos 服务器来做。首先确定你没有旧的Kerberos 数据库。你必须改变
/etc/kerberosIV 的目录，然后只检查下面出现的文件：
# cd /etc/kerberosIV
# ls
README krb.conf krb.realms
如果任何其他文件(如principal.* 或master_key)存在，那使用kdb_destroy 命令就
可以破坏旧的Kerberos 数据库，或者如果Kerberos 不在运行，只要删除其他的文件。
你现在必须编辑krb.conf 和krb.realms 文件来定义你的Kerberos 规则。在这个例子
中，规则将是GRONDAR.ZA，服务器是grunt.grondar.za。我们可以编辑或创建krb.conf
文件：
# cat krb.conf
GRONDAR.ZA
GRONDAR.ZA grunt.grondar.za admin server
CS.BERKELEY.EDU okeeffe.berkeley.edu
ATHENA.MIT.EDU kerberos.mit.edu
ATHENA.MIT.EDU kerberos-1.mit.edu
ATHENA.MIT.EDU kerberos-2.mit.edu
ATHENA.MIT.EDU kerberos-3.mit.edu
LCS.MIT.EDU kerberos.lcs.mit.edu
第18 页FreeBSD 使用手册
TELECOM.MIT.EDU bitsy.mit.edu
ARC.NASA.GOV trident.arc.nasa.gov
在这个例子中，其他规则没有出现。他们在这儿作为一个机器如何应用多种规则的例子。
你可能希望不要简单地包括它们。
第一行命名了这个系统工作的规则。其它行包含了规则/主机的记录。每行的第一项就
是一个规则，第二个是充当一个key distribution center 的规则中的一台主机。接在一个
主机名后面的管理服务器的命令意味着主机也要提供一个管理数据库服务器。更多信息，可
以参考Kerberos 的联机手册。
现在，我们必须添加grunt.grondar.za 到GRONDAR.ZA，然后添加一个记录把所有主机
放在.grondar.za 域中。krb.realms 文件将被升级：
# cat krb.realms
grunt.grondar.za GRONDAR.ZA

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有