文档章节

Linux Token Auth 一次性密码认证

netkiller-
 netkiller-
发布于 2014/08/04 10:57
字数 1253
阅读 648
收藏 6

Linux Token Auth 一次性密码认证

MrNeo Chen (netkiller)陈景峰(BG7NYT)


中国广东省深圳市龙华新区民治街道溪山美地
518131
+86 13113668890
+86 755 29812080
<netkiller@msn.com>

Mr 祥建Android 手机端开发


中国广东省深圳市南山区

+86 18665871161

<zeng_xiang_jian@foxmail.com>

版权 © 2014 http://netkiller.github.io

版权声明

转载请与作者联系,转载时请务必标明文章原始出处和作者信息及本声明。

文档出处:
http://netkiller.github.io
http://netkiller.sourceforge.net

2014-08-01


1. 什么是Token

Token(令牌)是一个身份认证标识,token还有一个特点,那就是存在过期时间的。也就是令牌不是长久有效的。

2. 为什么使用令牌

我们通常需要临时或者一次性使用的身份认证

3. 什么时候能用到令牌技术

例如我们去餐厅就餐,向前台获取Wifi密码,然后可以享受30分钟的上网服务。30分钟过后密码将失效。

我们公司有很多服务器,密码的管理非常麻烦,有时还会有人事变动,一旦人员发生变动,所有的服务器密码都需要修改一次,非常麻烦,偶尔会有漏改情况,使用堡垒机可以更好的管理密码,但成本非常昂贵。

于是我便想起了Token技术,但购买Token硬件成本也要花费不少钱。Token的原理我很清楚,通过对称算法算出相同对等密钥,我们可以不购买硬件设备,自己开发,手机设备随身携带,所以开发移动版Token最好不过。

4. 本文的Token应用在什么地方

我采用Token技术实现Linux指定用户的密码周期变化,以时间为基准,手机同步算出服务器上的密码。为了防止密码被穷举,我增加了4个干扰字符。

如果对密码算法强度感到不安全,你可以自行修改复杂度。

你还可以远程修改密码,不多讲。

5. 谁来部署

首先由管理员部署密码修改程序 chpasswd.sh 然后加入到crontab 中定时运行。

由于考虑到读者的水平参差不齐,所以我使用shell完成,这样绝大多数读者都能看懂。

# cat chpasswd.sh 
		
#!/bin/bash
datetime=`date +%Y-%m-%d" "%H":"%M`
email="neo.chan@live.com"
#password=$(cat /dev/urandom | tr -cd [:alnum:] | fold -w30 | head -n 1)
string=$(date -u "+%Y$1%m$2%d$3%H$4%M")
password=$(echo $string | md5sum | cut -c 2-9 | base64 | tr -d "=" | cut -c 1-32)
echo $password > ~/.lastpasswd
echo $password | passwd www --stdin > /dev/null

~/.lastpasswd 中保存最后一次密码

crontab 设置,每分钟修改一次密码。

# crontab -l
*/1 * * * * /root/chpasswd.sh a b c d

a b c d 自行设定,设定与手机端相同即可

至此服务器端配置完成

6. 手机端配置

安装Token.apk文件到你的手机

https://github.com/oscm/Token

6.1. 设置密码

确认密码

选择环境

设置干扰码

6.2. 查看服务器密码

6.3. 设置刷新时间

默认1分钟刷新一次,可能没有来得及输入完密码就会更新密码

如果修改此项,服务器端crontab中的设置同步更改即可。

© 著作权归作者所有

共有 人打赏支持
netkiller-

netkiller-

粉丝 694
博文 264
码字总数 368425
作品 10
深圳
部门经理
私信 提问
加载中

评论(2)

netkiller-
netkiller-
是的需要一致,其实更好的做法是写一个 pam 插件认证。
LianyouCQ
LianyouCQ
不错,但是无服务时间与手机时间得一致吧
docker index服务概述

index顾名思义“索引”,index服务主要提供镜像索引以及用户认证的功能。当下载一个镜像的时候,首先会去index服务上 做认证,然后查找镜像所在的registry的地址并放回给docker客户端,最终d...

酱醋茶丶
2015/11/17
0
0
多因子认证之 Keystone TOTP

随着 blueprint totp-auth 的实施,Keystone 自 M 版本新增了一次性密码 Time-base One-time Password(TOTP) 认证方式。其功能基础,操作稍有不便,距离生产环境尚有一段距离: 一次性密码的...

koala bear
2016/10/08
0
0
LinOTP 2.6.0.1 发布,一次性密码解决方案

LinOTP 2.6.0.1 发布,此版本更新内容如下: 添加了 radius 客户端测试工具 "linotp-auth-radius" (支持 challenge response); fixes the otppin=2 (no pin) problems with email and totp......

oschina
2014/02/14
385
0
Linux Token 一次性密码认证

Linux Token 一次性密码认证 http://netkiller.github.io/journal/token.html Mr. Neo Chen (netkiller), 陈景峰(BG7NYT) 中国广东省深圳市龙华新区民治街道溪山美地 518131 +86 13113668890...

netkiller-
2014/08/01
998
0
Subversion客户端认证凭证缓存总结

Subversion1.7或者更旧版本,主要使用一个磁盘缓存解决方案用来缓存认证凭证。 Subversion1.8中,其配置文件($HOME/.subversion/config)允许--disable-plaintext-password-storage选项绕过...

donhui
2014/10/17
0
1

没有更多内容

加载失败,请刷新页面

加载更多

BCryptPasswordEncoder加密工具类

Spring Security 提供的 BCryptPasswordEncoder 加密算法进行加密 import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;/** * <p> * BCryptPasswordEncoder加......

秋至丶枫以落
18分钟前
1
0
在 Linux 上使用 tarball

Tarball 提供了一种在 Linux 系统上备份和管理一组文件的通用方法。请按照以下提示了解如何创建它们,以及从中提取和删除单个文件。 “tarball” (LCTT 译注:国内也常称为“tar 包”)一词...

Linux就该这么学
34分钟前
2
0
2018年AI和ML(NLP、计算机视觉、强化学习)技术总结和2019年趋势(上)

摘要: 回顾2018,展望2019,计算机科学技术继续前进! 1、简介: 过去几年一直是人工智能爱好者和机器学习专业人士最幸福的时光。因为这些技术已经发展成为主流,并且正在影响着数百万人的生...

阿里云官方博客
38分钟前
5
0
UnsatisfiedLinkError sawindbg.dll

方法:搜索sawindbg.dll,然后将文件报错的目录下

洛水
39分钟前
2
0
说说不知道的Golang中参数传递

本文由云+社区发表 导言 几乎每一个C++开发人员,都被面试过有关于函数参数是值传递还是引用传递的问题,其实不止于C++,任何一个语言中,我们都需要关心函数在参数传递时的行为。在golang中...

腾讯云加社区
40分钟前
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部