Utilizza la chiave pubblica o la password e il codice di verifica PAM

0

Quindi ho letto più e altro su come (relativamente ) è facile avere il tuo server Ubuntu compromesso e basti dire che sono diventati un po 'paranoici di questo fatto.

Ho impostato Autenticazione a più fattori utilizzando libpam-google-authenticator e una password.

Quello che mi piacerebbe poter fare è utilizzare sia una password sia un codice di verifica O una chiave ssh e un codice di verifica. Preferibilmente, verifica la presenza di una chiave SSH e se ne viene ricevuta una per chiedere un codice di verifica, o se una chiave SSH non è presente, chiedendo una password e quindi un codice di verifica.

Mi sto tormentando la mente leggendo i seguenti tutorial, ma sento che mi manca alcune conoscenze fondamentali per ottenere l'ordine corretto.

Come domanda a parte, qualcuno conosce la formulazione corretta per quello che sto cercando di fare? Immagino che possa far parte del mio problema durante la ricerca.

    
posta Gary 13.07.2016 - 23:44
fonte

2 risposte

1

È infatti possibile combinare l'autenticazione della chiave pubblica ssh con l'autenticazione PAM. Il demone ssh eseguirà l'autenticazione della chiave pubblica (con la chiave ssh, che è no , solo le coppie di chiavi!) E l'autenticazione della password o l'autenticazione OTP / GA è gestita tramite PAM.

Il trucco è, per usare questo

AuthenticationMethods publickey,password

nel tuo sshd_config.

Ho scritto un howto su questo . In questo modo puoi persino gestire le tue chiavi SSH e i token OTP con un sistema centrale privacyIDEA . (Disclaimer: Il mio progetto)

    
risposta data 15.07.2016 - 00:25
fonte
0

Vedi qui. link

Il vantaggio di mfa è una password che non può essere ulteriormente estesa. Puoi usare password più deboli e riutilizzarle e cambiarle meno spesso. È possibile evitare le frodi di phishing più facilmente.

I certificati non hanno questo problema. Non trasmetti mai il tuo certificato privato e puoi riutilizzarlo spesso.

Proteggi anche la tua chiave per maggiore sicurezza.

Anch'io penso ssh non cancella l'autenticazione da pam quindi non hai modo di collegare l'utente tramite pam per ottenere il controllo mfa.

Suggerirei comunque di disattivare l'autenticazione basata su password tutti insieme. Il certificato fornisce 112 bit di entropia (2048 RSA) e richiede anni per la forza bruta.

Se i registri ti infastidiscono, le persone cambiano spesso il loro porto o non riescono a vietare il traffico autobloccante.

    
risposta data 14.07.2016 - 02:24
fonte

Leggi altre domande sui tag