linux-openssh高度なパスワードポリシー


昨日突然ある人がネット上でどのようにopensshを强化してパスワード+证明书の二重认证を使うことを寻ねることを见て、1种の解决方法を见て、open***を使って先に登录してからopenssh证明书を使って登录して、私のお母さん、パスワードをプラスするためにopen***を専门にしなければならなくて、実は私达の既存の配置自体がopen***を要しても何も言うことはありませんしかし、必要でなければ余計です.しかもまた***の扉が开いた! 
Opensshではパスワードと証明書の同時認証はサポートされていないようですが、証明書か、パスワードのどちらかが成功すればいいのではないでしょうか.
1、最も簡単な方法はkeyを作る時にパスワードのフレーズを加えることですが、これは集中管理に不便です!
 
2,以下のコードで/etc/profileを補強する
trap 'echo "Please Ener Your Password!!" ' 1 2 3 9 15 17 18 19 20 24
#ここはパスワードです.md 5 sum sha 512 sumで暗号化してもいいですよ!mima=123 clearstty-echoecho-n"--:"read keyecho""cishu=1 while["$key"!="$mima"]doecho-n"--:"read keyecho""cishu=`expr$cishu+1`while[$cishu-gt 10]dosty echo
#ここで実行終了linuxログイン状態に戻るexit 1 donedoneclearecho“wellcom!!Now time is`date`!”stty echoecho”
以上のコードを/etc/profileの末尾に追加して、あなたがsshに上陸しても直接linuxに上陸しても、上陸した後にまた2回上陸してマルチユーザー環境の下で行います!ユーザーだけは考えません!
 
3,tomoyo-mac補強システムを使用して、この強大な点は二次パスワード認証を実現することができて、あるいは複数のパスワード策略、入力したパスワードによって異なる権限を実現します!!実現コード:
まず認証スクリプトaut 1を1つ作成する
echo "password" | sha1sum
#!/bin/sh -p

hash="c8fed00eb2e87f1cee8e90ebbe870c190ac3848c  -"

read -r -s -e -p "Password: " password
hash_attempt="$(echo "$password" | sha1sum)"
sleep 2
if [ "$hash_attempt" = "$hash" ]; then
  exec $SHELL
else
  echo "Authentication failed"
fi

そしてtomoyo-macを設定
ロック/usr/sbin/sshdドメインを下にして管理しやすい
initialize_domain /usr/sbin/sshd from any

/usr/sbin/sshdで生成された/bin/bashドメインで強制権限を設定し、auth 1プログラムしか実行できません!
file execute /bin/auth1 exec.realpath="/bin/auth1"
   auth1    /bin/bash   ,      
keep_domain any from  /usr/sbin/sshd /bin/bash /bin/auth1 /bin/bash

その後は/usr/sbin/sshd/bin/bash/bin/auth 1/bin/bashドメインで強制権限制御を行いました!簡単ですが、柔軟で、異なるauth 1 auth 2 auth 3を使用して異なる権限セットを認証することができます!
以上、openssh認証を強化しました.もちろん、最新のgoogle QRコード認証も可能ですが、面倒くさいので携帯で写真を撮る必要があります.骨が折れます.googleが死んだら、どうやって上陸しますか.ちなみにopensshセキュリティの強化についてお話ししましょう.
1、sshd_configを使用してallowuserパスワードのログイン回数を制限するなどのセキュリティ制御
 
2,dropbear関連ssh-sererを使用する必要はありません.opensshは絶対に安全で安定していません.openbsd出品は必ず逸品です.
 
3、最新の安定版openssh-6.2 p 1 gcc fstack-protect-allをダウンロードして補強して、ついでにversion.hの偽装を修正することができて、コンパイルオプションは最小でインストールすればいいですpam utmp tcptrapはすべて閉じますほほほ!
 
4、強力なgrsecurity強化コアを使用して、オーバーフロー保護patch paxctl-PemRXS sshdを追加!
 
5,もちろんopenssh証明書+パスワードフレーズ登録して、添付のパスワード認証を加えて三重認証しました!必要ないでしょう!!!
 
6,iptables-I INPUT-m timeプラス時間制御、同時制御など!!
 
7,点を強くしてgrsecurty chrootパッチを加えてlinux chroot機能を強化sshdを強化して、パーティションはopensshのあるパーティションを読み取り専用でロックします!(読み取り専用ロックは危険な機能で、開いたら再起動してから変更できます!)
 
はい、基本的にはこれだけです.以上はネットワーク層パスワード認証層プログラムオーバーフロー層仮想砂箱層からopensshを強化しました.皆さんが使ってほしいです.