我们现下大家都流行什么sniff,科莱监听啊,或者社会工程学来破解大家的ssh密码,怎么办呢,固定一个密码是那么的不安全,现在来讲解下在freebsd中存在多年的一次性密码机制,非常简单,非常实用。
首先我们要初始化第一个一次性密码:实用opiepasswd -c -f命令
上面的KNOW IRA FUR MESH SAN BILL(注意,中间的空格也是要保留的不能省略)就是我们得到的第一个一次性密码,编号为499 对应的种子为 xi9933 对应的账号为root !
好了我们开始批量产生大量的密码,做好记录或者发送到安全的email上去。随时调用查看。命令为:opiekey -f -n 10 498 xi9933 (注意-n 10是产生10个 498为最后一个密码的编号,ix9933就是初始化时的种子)
好了10个密码产生了,不够再加,,对了“ Enter secret pass phrase”安全短语一定要和初始化时用的一样!!
这样我们的freebsd有两种密码登陆机制了,一种是传统的UNIX机制,一种是opie,我们怎么限制那些电脑使用哪种机制呢。。。。对了在/etc目录中已经有了一个控制文件opieaccess文件,默认除了本地(local)可是两个机制都行外,其他的远程都是只能使用opie方式登陆,你可以打开这个文件加入ip地址允许或拒绝UNIX登陆!
还有就是,给其他账户加密码,只要切换到该用户下去就行方法一样,如果在ssh中初始化就不要加 -c 参数直接 opiepasswd -f!
好了忙活了半个小时,安全提高了一大截,值了,歇歇!!