Ada kalanya kita perlu mengizinkan seseorang untuk login ke sistem FreeBSD kita hanya untuk sekali waktu. Ini diperlukan misalnya bagi karyawan dari divisi lain yang sedang ada keperluan ke divisi kita secara temporer dan insidental. Sebenarnya bisa saja kita membuatkan user khusus untuknya. Namun karena dia hanya membutuhkan sekali login dan setelahnya tidak diperlukan lagi, maka kita harus menghapus user login tersebut setelah dia tak membutuhkannya lagi. Meninggalkan user ’sampah’ bukanlah sebuah langkah yang bijak dari sisi sebagai seorang sysadmin. Begitu pula dengan tindakan mengizinkan hak akses ke user yang telah ada sebelumnya kepadanya dengan memberikan password user tersebut. Karena untuk tindakan ini, Anda perlu melakukan reset password setelah dia selesai dengan semua pekerjaannya dengan user tersebut. Itu pun jika dia tidak lupa memberitahukan bahwa dia telah selesai dan Anda cukup perhatian serta ada waktu untuk melakukan passwd atas password user tersebut.

Adalah tindakan yang baik bila kita memberikan hak akses ke tamu kita tersebut berupa user login yang sesuai dengan wewenangnya dari daftar user yang telah ada dan bersamaan dengan itu kita berikan password ’sekali pakai’ padanya. Untuk keperluan ini, Anda bisa menggunakan OPIE (One-time Passwords In Everything) yang defaultnya menggunakan hash MD5. OPIE secara default telah di-support oleh FreeBSD, jadi Anda tidak perlu melakukan compile ulang kernel atau menambahkan load module baru bahkan tanpa perlu meng-install paket tambahan apa pun.   

Langkah-langkahnya :

  1. Login secara langsung ke console mesin FreeBSD atau gunakan secure connection misalnya via SSH.

  2. Inisialisasi OPIE : $ opiepasswd -c

  3. Masukkan new secret pass phrase, ini bukanlah password yang nantinya bisa digunakan oleh tamu kita untuk login, melainkan frasa password yang kita gunakan untuk men-generate OPIE password untuk tamu kita tersebut.

  4. Sekarang si tamu bisa dipersilahkan login dari remote, bahkan bisa dari insecure connection seperti via TELNET, XTERM atau DIAL-IN. 

  5. Dari secure connection lakukan perintah berikut :

    $ opiekey 497 ko0807
    Using the MD5 algorithm to compute response.
    Reminder: Don’t use opiekey from telnet or dial-in sessions.
    Enter secret pass phrase:
    SUCH HAD GEAR SLIM TAKE WEAN

    OPIE password : SUCH HAD GEAR SLIM TAKE WEAN inilah yang bisa digunakan oleh si tamu untuk login sekali pakai.

    Karena OPIE passwor ini cukup panjang, user tamu tersebut bisa menggunakan moe echo-on agar pengisian passwordnya bisa terlihat :

     

  6. Jika suatu saat terjadi sesi login dengan seed opt-MD5 sama atau kurang dari 5 karakter, maka Anda tidak bisa men-generate OPIE passwordinya via perintah opiekey, karena jika dipaksakan akan muncul pesan peringatan, seperti pada kasus berikut ini :

    opiekey 499 ko17
    Using the MD5 algorithm to compute response.
    Seeds must be greater than 5 characters long.

    Solusinya Anda login sebagai root atau superuser, lalu hapus entri username tamu di file /etc/opiekeys, lalu Anda perlu mengulang proses mulai nomor 1 hingga nomor 5 di atas.

  7. Anda bisa membatasi pemberlakuan OPIE password ini hanya dari host yang Anda ijinkan melalui pengaturan di file /etc/opieaccess, berikut adalah contohnya :

    permit 192.168.1.0 255.255.25.0

FreeBSD…begitu aman, begitu terpercaya.

Dedicated for Light Intermutimedia
Perusahaan Software Pulsa