Seconda password per accesso solo SSH

1

TL; DR : voglio avere una semplice password per sbloccare il mio computer con accesso fisico e una password complessa da connettere su ssh. Questo, usando lo stesso account.

Sto cercando una soluzione per gestire l'accesso al mio computer. Per qualcuno che ha accesso fisico al mio computer (come me e un paio di miei amici che lo useranno di tanto in tanto), mi piacerebbe avere una password semplice e breve che tenga fuori gli estranei. Tuttavia, mi piacerebbe avere un'altra password complessa per il server SSH, perché il server SSH sarà disponibile di volta in volta dalla rete pubblica e avere una password semplice potrebbe comportare un grosso rischio per la sicurezza.

Ho esaminato l'autenticazione senza password usando le chiavi ssh, ma non è quello che sto cercando, perché voglio essere in grado di ssh nel mio computer da qualsiasi dispositivo. (E per quanto ho capito, il mio computer dovrebbe avere un elenco di chiavi ssh affidabili.)

Quindi, idealmente, voglio avere una semplice password per sbloccare il mio computer con accesso fisico e una password complessa da connettere su ssh.

    
posta Martijn Courteaux 12.12.2015 - 14:24
fonte

2 risposte

2

Penso che la vera soluzione sia creare un account non amministratore a cui si possa accedere tramite ssh (presumibilmente l'account che si desidera utilizzare tramite accesso fisico avrà privilegi sudo). L'account ssh non dovrebbe avere nulla o essere in grado di fare qualcosa di diverso da consentire a un utente di accedere. Puoi quindi su da quell'utente all'account reale che vuoi usare, che ti darà un ulteriore livello di sicurezza e registrazione migliore su chi sta accedendo al sistema (o provando a)

    
risposta data 12.12.2015 - 15:33
fonte
1

Non esattamente quello che descrivi, ma dovrebbe risolvere i tuoi problemi. Lo strumento è chiamato "autorizzazione a pacchetto singolo" e l'implementazione molto bella con la descrizione è fwknop .

Se hai un computer con IP accessibile da Internet, è molto comune vedere molti tentativi di autenticazione su SSH ed è molto utile proteggere il servizio in qualche modo. Nascondersi è un buon approccio. Fwknop ti permetterà fondamentalmente di sbloccare la porta ssh per un indirizzo specifico dal tuo cellulare (per esempio) e poi potrai connetterti usando la tua password relativamente semplice senza esporla al mondo.

Se è troppo complicato, puoi sempre impostare due utenti:

  • locale:
    • con password semplice
    • negato l'accesso remoto
  • a distanza:
    • password complessa
    • permesso accesso remoto usando l'opzione AllowUsers in sshd_config

e imposta la transizione sudo dal remoto al locale (automaticamente o manualmente) per entrare nello stesso "contesto" come con i tuoi accessi locali.

    
risposta data 12.12.2015 - 15:24
fonte

Leggi altre domande sui tag