FreeBSD tips: повышаем безопасность с помощью одноразовых паролей

Сергей Супрунов

Одним из «узких мест» в плане защиты информации является использование системного пароля для удаленного входа на сервер, который может быть подобран, перехвачен или вскрыт иным способом. Решим эту проблему с помощью одноразовых паролей.

Иногда возникает ситуация, когда нужно войти на сервер с чужого компьютера. Например, выехав к клиенту, вы выясняете, что он начисто забыл свой пароль. Не возвращаться же из-за этого в офис? А заходить на сервер с машины клиента достаточно опасно – кто знает, какие «шпионы» там установлены? Конечно, решить эту проблему можно несколькими способами. Например, используя ssh с аутентификацией ключевым файлом, который записан на дискету (к слову, дискету можно на радостях и в дисководе забыть, что отнюдь не поспособствует безопасности сервера). Или хорошим решением выглядит LiveCD – в этом случае вы гарантируете себе не только повышение безопасности, но и наличие всех необходимых программ.

Система FreeBSD предоставляет еще один удобный инструмент – одноразовые пароли. Начиная с FreeBSD 5-й версии, они реализуются системой OPIE (One-time Passwords In Everything), основанной на S/Key. Замечу, что OPIE существует и в большинстве дистрибутивов Linux, так что все описанное вы можете применить в этих системах. Однако для конкретизации изложения я буду описывать именно реализацию OPIE на FreeBSD 5.3.

В чем заключается идея

В общих чертах это выглядит следующим образом: при попытке войти на сервер после ввода имени пользователя вы получаете строку-оклик, содержащую номер итерации и некоторую последовательность символов – так называемое «зерно» (seed):

login as: serg

otp-md5 496 ko5622 ext

Password:

Далее вам нужно ввести парольную фразу (отзыв), соответствующую указанному номеру и «зерну». Для генерации паролей используется утилита opiekey (поэтому одноразовые пароли на жаргоне иногда называют «опиками»). Ей нужно передать текущий номер последовательности и «зерно», затем будет запрошена секретная фраза (она задается во время активации учетной записи пользователя) и выведен список шести коротких слов, которые и являются одноразовым паролем-отзывом.

В отличие от системного пароля одноразовый нечувствителен к регистру символов, так что вводить его можно и маленькими буквами.

Если в ответ на первое приглашение «Password:» просто нажать <Enter>, то появится еще одно, с включенным эхо-отображением вводимых символов, что позволит вам видеть вводимый текст на экране.