私はFreeBSDホスティングサーバーを持っていて、どこからでもそのサーバーにアクセスできるようにしたいです。通常、SSH公開鍵を使用してログインします。 SSH秘密鍵が利用できない場合は、SSHを介して一般的なパスワードを使用できます。ただし、信頼できないコンピュータにログインしている場合は、常に入力したパスワードをキーロガーがキャプチャする危険があります。
FreeBSDはすでにOPIEサポートこれは使い捨てパスワードスキームです。これはうまく機能しますが、使い捨てパスワードは次のとおりです。ただ認証が必要です。後で使用するために使い捨てパスワードリストを印刷することは、リストを失ったときに誰かに必要なすべてです。
使い捨てパスワードが必要なように認証を設定したいと思います。追加する私が知っているもの(パスワード、普段ログインパスワード以外のパスワード)。私はその答えが次のように感じます。ポリアクリルアミド(そして/etc/pam.d/sshd
)しかし詳細はよくわかりません。
両方の方法が必要な場合、認証を設定する方法は?
答え1
一般アカウントとは異なるパスワードを使用するには、security/pam_pwdfile
ポートツリーで試してください。
デフォルトでは、認証に代替ファイル(形式:)を使用できますusername:crypted_password
。
それを使用するには、次の行を入れてください。/etc/pam.d/sshd
直前銀行pam_opie
:
auth required /usr/local/lib/pam_pwdfile.so pwdfile /path/to/pwd/file
答え2
デュオセキュリティ(当社)提供オープンソースパッケージパスワード、公開鍵、またはキー認証メカニズム(PAMを含むまたは除く)を使用して、SSHに対するOTP、コールバック、SMS、およびスマートフォンプッシュ認証をサポートします。
http://blog.duosecurity.com/2011/04/announce-duos-two-factor-authentication-for-unix/
答え3
pamを使用する場合は、2つの必須モジュールを/etc/pam.d/に配置するのと同じくらい簡単でなければなりません。 1つはOpie用、もう1つは他のライセンス用です。 (例:一般的なUNIXパスワード)
答え4
pam-radiusの使用を検討してください。 BSDでコンパイルする必要があります。すべてのエンタープライズクラスのデュアル認証システムはRadiusをサポートしています。半径は非常に標準的なものなので、多くの柔軟性が得られます。
HTH。