Usar clave pública o contraseña y código de verificación PAM

Question

Usar clave pública o contraseña y código de verificación PAM

#1 de cornelinux (1 votos)
#2 de Jonathan (0 votos)

0

Así que he estado leyendo más y más sobre cómo (relativamente ) es fácil tener su servidor Ubuntu comprometido y basta con decir que se han vuelto un poco paranoicos por este hecho.

He configurado Autenticación multifactorial con libpam-google-authenticator y una contraseña.

Lo que me gustaría poder hacer es usar tanto una contraseña como un código de verificación O una clave ssh y un código de verificación. Es preferible verificar una clave SSH y, si se recibe una, pedir un código de verificación, o si no hay una clave SSH, pedir una contraseña y luego un código de verificación.

He estado atormentando mi cerebro leyendo los siguientes tutoriales, pero siento que me falta algún conocimiento fundamental para obtener el orden correcto.

Como una pregunta complementaria, ¿alguien sabe la redacción correcta de lo que estoy tratando de hacer? Supongo que eso puede ser parte de mi problema durante la investigación.

ssh multi-factor

pregunta Gary 13.07.2016 - 23:44

fuente

2 respuestas

Lea otras preguntas en las etiquetas ssh multi-factor

¿Qué tan seguro es usar nombres de directorios secretos para compartir archivos en unix? El mejor enfoque para obtener la IP del usuario

score 1 · Answer 1

De hecho, puede combinar la autenticación de clave pública ssh con la autenticación PAM. El demonio ssh realizará la autenticación de clave pública (con su clave ssh, que es el certificado no , ¡solo pares de claves!) Y la autenticación de contraseña o autenticación OTP / GA se administra a través de PAM.

El truco es, para usar esto

AuthenticationMethods publickey,password

en tu sshd_config.

Escribí un sobre cómo hacerlo . En esta guía, incluso puede administrar sus claves SSH y los tokens OTP con un sistema central privacy_EA>. (Descargo de responsabilidad: Mi proyecto)

score 0 · Answer 2

Ver aquí. enlace

El beneficio de mfa es que la contraseña que se adivina no puede ir más lejos. Puede usar contraseñas más débiles, reutilizarlas y cambiarlas con menos frecuencia. Puede evitar las estafas de phishing más fácilmente.

Los certificados no tienen ese problema. Nunca transmite su certificado privado y puede reutilizarlo a menudo.

También protege con contraseña su clave para mayor seguridad.

También pienso ssh se certifica fuera de pam, por lo que no tiene forma de conectar al usuario a través de pam para obtener el cheque mfa.

Todavía sugeriría desactivar la autenticación basada en contraseña en conjunto. El certificado proporciona 112 bits de entropía (2048 RSA) y eso lleva años hasta la fuerza bruta.

Si los registros te están molestando, la gente a menudo cambia de puerto o utiliza la función de no bloquear para bloquear automáticamente el tráfico.