服务器安全升级之-root密码自动同步器

作者: | 2018年2月1日

其实早在2017年就想做这玩意儿,一直没时间,这2天又来了热情,就开始整整了。

首先说一下,我为什么要这么做?
现在访问服务器的安全配置是:禁root登录,禁22端口;ssh端口修改为特定端口;运维通过带密码的证书访问服务器,再通过su root进行切换操作。但这样的操作有一个弊端,root密码其实是暴露的。

其次,说说我的思路,或者说说,我眼中的”root密码自动同步器”
1.通过java(目前就用这个语言,以后或许python,go)执行特定命令,生成随机的符合我们密码规则的密码,这里有2个要素(1.动态的时间;2.每台服务器固定的证书;)这里就涉及到了TOTP的一点小概念,其实我也只是懂点原理;然后做成常驻服务;定时执行(目前设置的5分钟改一次密码);
2.再让安卓同事写一个专用APP,使用我写的jar包;添加证书和服务器功能;

目前正在做第一步,基本是差不多了,估计这几天能做完。可能全面部署与实施需要到年后,年后我再记录使用情况。