linux一次性密碼登錄

     上節咱們講到在freebsd下面的一次性密碼登錄機制，其實在linux下面麻煩一點，不能像freebsd那樣系統自動建立相關的配置文件如/etc/opieaccess /etc/pam.d/sshd等等。這節咱們就開始講述在linuxi咱們怎麼實現一次性密碼登錄問題。

        1，必須安裝相關文件opie-server opie-client libpam-opie怎麼安裝我就不詳細說了，在debian下咱們能夠aptitude install libpam-opie opie-server opie-client就OK 了。

       2，和freebas下同樣咱們產生第一個一次性密碼:opiepasswd -c

     上面的KNOW IRA FUR MESH SAN BILL（注意，中間的空格也是要保留的不能省略）就是咱們獲得的第一個一次性密碼，編號爲499 對應的種子爲 xi9933 對應的帳號爲root ！

    3,好了咱們開始批量產生大量的密碼，作好記錄或者發送到安全的email上去。隨時調用查看。命令爲：opiekey -f -n 10 498 xi9933 (注意-n 10是產生10個 498爲最後一個密碼的編號，ix9933就是初始化時的種子)

     好了10個密碼產生了，不夠再加，，對了「 Enter secret pass phrase」安全短語必定要和初始化時用的同樣！！這樣咱們就能夠把密碼經過手機短信發送給須要的人了，或者安全電子郵件也可。

   4,和freebsd不同在linux下面咱們要手動更改ssh 配置文件和pam文件：

    把/etc/ssh/sshd_config中的ChallengeResponseAuthentication 設置爲YES

     把/etc/pam.d/sshd 增長auth required pam_opie.so no_fake_prompts 到第一行（這樣登錄流程是首先進行opie認證成功後再進行普通UNIX認證很是安全），若是隻想要opie認證則把require改爲sufficient .

    若是是想要把全部登錄所有改爲opie（不光是ssh,普通UNIX)則修改/etc/pam.d/common-auth 把上面的指令加進去就能夠了！

  其實也沒什麼難的，你能夠對比freebsd，把他的設置套用到linux是同樣的，只不過是freebsd的opieaccess模塊在linux中是沒有獨立存在的，嵌入到了pam-access中去了，咱們通常不用，直接經過pam來控制！

  到此就算是完整的一次性密碼登錄了，是否是很簡單呢，但是給***帶來了很是鬱悶的破解難度。。密碼隨時動態改！！