解决方案
将动态密码结合PAM认证方案,在PAM静态密码认证基础之上,增加一层动态密码(该密码是由硬件令牌产生,每隔60秒变化一次,密码一次使用有效)认证,系统管理员本地和远程访问服务器时,在输入的帐号+静态密码认证通过之后,还需输入动态令牌上显示的一次性密码,只有静态密码、动态密码都认证通过,才可成功登入系统,提升服务器登录安全。
该方案支持所有Linux、UNIX、类UNIX服务器系统,真正做到即配即用,无需重启服务器即可实时生效。
下面从宁盾实施过的服务器结合动态密码认证案例中,提炼出客户的典型应用场景及描述其具体解决方案:
(1)多动态密码组合登陆服务器:只有同时输入由多个管理员手持的令牌显示的动态密码并提交验证成功,才可完成服务器的登入,此需求针对用户核心服务器如数据库。
(2)服务器集群结合动态密码登陆:此种大部分由客户托管在机房的服务器客户或IDC的IT管理人员采用,DKEY动态密码认证方案,支持并且绝大部分是采用SSH 登陆,该方案支持服务器证书和口令两种方式登陆,实施案例可以参考文章《帝联股份采用宁盾DKEY动态密码认证解决方案》。
(3)跳板机结合动态密码登陆:用户借助跳板机来访问宿主机,当宿主机数量较多情况下,有些时候为了方便批操作,客户机采用证书登陆以节省输入账号+口令环节。