配合sudo使用 Google Authenticator
Google Authenticator 是一个 TOTP(基于时间的一次性口令)实现,它采用了 RFC 4226 算法。
Google Authenticator 与 RSA SecurID 非常类似。具体来说,它使用一个随机串和以整数表达的时间作为输入去计算 HOTP(算法是 HMAC-SHA-1),然后取输出的最后几位作为一次性口令。
虽然目前已经发现了一些 SHA-1 的弱点,但目前为止还没有公开的已知算法可以从 hash 值直接高效地反推出明文信息。另一方面, HOTP 只截取 hash 的最后几位,因此,攻击者在知道可能的明文信息之后,还必须获得足够多的 TOTP 时间和 hash 值才能够进行离线验证。
在现代 Unix 系统上,通常使用 PAM 来完成系统的验证工作。在 FreeBSD 上,可以通过 security/pam_google_authenticator 来安装 Google Authenticator 的 PAM 模块。这样就可以配置 sudo 来使用它做验证了。
在 /usr/local/etc/pam.d/sudo 中,auth部分预设是这样的:
auth include system
这表示采用系统内建的 'system' 规则配置。我们在这后面加入强制使用 Google Authenticator 的配置:
auth required /usr/local/lib/pam_google_authenticator.so noskewadj
这里的 required 表示如果验证失败则认为整个验证链失败。
如果不需要用户重新输入口令,则可以用上面这行换掉include那行。
在 sudoers 中还需要配置使用口令。如果是 NOPASSWD,则系统会绕过 auth 这一部分。
需要注意的是,由于 sudo 是一个特权提升点,因此假如用可以被用户自行改动的文件作为访问控制机制,便会构成一个显然的安全漏洞。因此,对应的 Google Authenticator 配置应以 sudo 的目标用户的身份进行(此外还应在sudoers中配置 Defaults rootpw):
sudo google-authenticator
也许应该抽时间改进一下,例如把 authenticator 的修改做成 setuid 的,并实现先验证之后再改?