使用Google Authenticator为小雉系统增加动态密码功能
本文原地址: http://www.feitianzhi.com/boke/index.php/archives/17/
转载请注明出处,有疑问或错误请发邮件到xiaozhi@fslib.org 或加QQ群:869598376
概述
Google Authenticator是Google开发的二次认证工具,本功能是基于Google Authenticator开发,让小雉系统的本地登录和ssh,telnet登录支持动态认证,其中本地登录和"ssh,telnet"可以单独设置是否开启动态认证.
背景
- 常规的服务器密码配置为固定密码,在工程人员离职时,需要验证工程人员交接的主机用户名密码的正确性,同时为了安全需要修改密码,对有成百上千的服务器环境这将是一个苦力活,在某些情况下这个工作衔接不一定做得好(如没有招到下一个工程人员上一个已离职).
- 现代的项目很难有一个公司能独立完成的,大多都需要多公司配合(可能是后期功能扩展,有新公司进场),在有多公司配合的项目中,避免不了联调测试,在联调中能否把自己公司的服务器root密码提供给其他公司是一个纠集的事(不提供root密码,需要自己公司派专业的人协助调试,提供root密码,以后项目服务器的安全又存在风险(调试过程中,对方人员可信,不存在风险)).
为解决以上两个问题,把系统设计为动态认证,具体使用时
- 本地直接插键盘登录时使用固定密码,这样不会增加公司内部装机的工作量,本地为物理隔离,使用固定密码不存在风险;
- 远程登录(ssh和telnet)使用动态认证,这样员工离职后将无法获取动态认证的密码,提供给第三方的root密码为一次性密码,使用后(或到一定期限还不使用)就无效了,保证系统远程登录的安全.
操作
本功能的开关是通过激活码的方式开启,且动态认证只能升级不能降级,如一旦开启"ssh,telnet"的动态认证功能,将不能使用没有开启"ssh,telnet"功能的激活码;如需体验请与我联系免费获取激活码.
功能演示
- ssh动态认证
操作人员把动态码:ZEEG0715及激活码发送给管理员,管理员会提供一个一次性口令给操作者,操作者使用一次性口令登录系统.
- telnet动态认证
操作人员把动态码:ZLMD8HC7及激活码发送给管理员,管理员会提供一个一次性口令给操作者,操作者使用一次性口令登录系统.
- 本地动态认证
操作人员把动态码:Z0CJ9MZQ及激活码发送给管理员,管理员会提供一个一次性口令给操作者,操作者使用一次性口令登录系统.
猜您可能喜欢
小雉系统安装:http://www.feitianzhi.com/boke/index.php/archives/11/
小雉系统网络配置:http://www.feitianzhi.com/boke/index.php/archives/15/
小雉系统硬盘配置:http://www.feitianzhi.com/boke/index.php/archives/16/
小雉系统远程升级:http://www.feitianzhi.com/boke/index.php/archives/14/
评论已关闭