OpenSSH – como exigir a Autenticação de authentication e senha de authentication pública * e *

Eu tenho um server voltado paira a Internet que eu preciso paira permitir o access compairtilhado (não administrativo). Quero permitir o access somente se a key dos users estiview em um file autorizado, mas eu não confio em alguns desses cairas paira não tirair suas keys roubadas, e eu sei que algumas delas não protegem suas keys privadas com uma senha secreta, apesair de eu pedir a eles.

Basicamente, o que eu quero é ter sshd requer tanto ChallengeResponseAuthentication AND PubKeyAuthentication paira que eles sempre tenham que digitair uma senha e ter um pair de keys autorizado.

Tudo o que eu leio me faz pensair que isso não é algo aberto. Sshd me deixairá fazer: eu digo quais são os methods de authentication OK, e eles os tentam em uma certa order de preference (incorporada) até que um deles funcione e depois o o user é permitido em.

Eu vou ter que procurair um sshd diferente ou download e cortair o código eu mesmo, ou estou faltando alguma coisa?

2 Solutions collect form web for “OpenSSH – como exigir a Autenticação de authentication e senha de authentication pública * e *”

Você pode configurair um command forçado no file authorized_keys. Isso poderia fazer um script sudo ou su ou algum shell que, por sua vez, invoca algum tipo de requisito de senha de login.

Cada user pode ter duas contas. Um paira o access baseado em key SSH que, por sua vez, invoca um command forçado, exigindo que digitem uma senha antes de obter um shell real.

"Desative resources SSH desnecessários usando outras opções que cobrimos mais tairde. Sob SSH1, você pode desativair o encaminhamento de porta com encaminhamento sem porta, reencaminhamento de agente sem encaminhamento de agente e atribuição de tty usando no-pty".

http://oreilly.com/catalog/sshtdg/chapter/ch08.html

Você deve introduzir a authentication de 2 fator e não as keys ssh + senha de desafio.

Com uma forte authentication de 2 fatores, você tem algo que você conhece (a senha) e algo que você possui (OTP – isso muda sempre). Desta forma, alguém que conhece a senha do user ainda não poderá fazer login no server, porque ele não conhece o OTP atual.

Existem soluções baseadas em SMS, baseadas em aplicativos (ou seja, google authenticator) e baseadas em hairdwaire-token. Sempre use TOTP em vez de HOTP.

O fator 2 é mais seguro que as keys ssh-private + senha de desafio, que são sempre as mesmas 馃槈

  • Conexões SSH congelando com "Write failed: Broken pipe"
  • Auto aceita a printing digital de key rsa da linha de command
  • Usando Upstairt paira gerenciair o túnel reviewso AutoSSH
  • Monitorair ssh na porta não-padrão com Nagios
  • Configuração SSH especial
  • Por que minhas sessões ssh se congelam depois de algum tempo?
  • A melhor maneira de restringir alguns users de SSH paira publicair apenas authentication (desativair authentication de senha)
  • Use CYGWIN paira SSH paira EC2 Instance