¡Hace poco me puse un VPS y lo he estado endureciendo al máximo de mi conocimiento limitado!
Estaba configurando OpenSSH para usar autenticación basada en certificados cuando algo no me iba bien. Esto podría ser una opción de configuración en el camino, pero si no es así, seguramente es bastante preocupante:
Al agregar una clave al host remoto, usé algo parecido a ssh-copy-id username@remote-host
para copiarlo allí. Al hacer esto, me solicitó la contraseña para username @ remote-host, que proporcioné debidamente.
Cuando entré a trabajar al día siguiente, hice lo mismo desde una máquina en el trabajo, solo para actuar como a prueba de fallos y luego desactivé la autenticación de contraseña. Sin embargo, desde una tercera máquina, todavía podía cargar una clave y solo necesitaba saber el nombre de usuario y la contraseña.
Si es así como funciona, ¡seguramente un atacante solo tendrá que comprometer la contraseña, incluso si la autenticación basada en certificados está habilitada, lo que anula su uso ?!
Tengo que perderme algo, ¿no?
(No te preocupes, ¡tengo dos factores configurados en mi VPS usando Google Authenticator ahora!)