Recentemente mi sono messo in contatto con un VPS e l'ho reso più difficile dalla mia conoscenza limitata!
Stavo configurando OpenSSH per utilizzare l'autenticazione basata su certificato quando qualcosa non andava bene per me. Questo potrebbe benissimo essere privo di un'opzione di configurazione lungo il percorso, ma in caso contrario, è sicuramente piuttosto preoccupante:
Quando aggiungevo una chiave all'host remoto, ho usato qualcosa simile a ssh-copy-id username@remote-host
per copiarlo lì. Facendo questo, mi ha richiesto la password per username @ remote-host, che ho debitamente fornito.
Quando sono entrato al lavoro il giorno dopo, ho fatto lo stesso con una macchina in funzione, solo per fungere da failsafe e quindi disattivare l'autenticazione della password. Tuttavia, da una terza macchina, ero ancora in grado di caricare una chiave pur avendo solo bisogno di conoscere il nome utente e la password.
Se questo è il modo in cui funziona, sicuramente un utente malintenzionato dovrà solo compromettere la password, anche se l'autenticazione basata su cert è abilitata, negando così il suo utilizzo?!
Mi manca qualcosa, giusto?
(Non preoccuparti, ho due fattori impostati sul mio VPS utilizzando Google Authenticator ora!)