5

Мне часто нужен доступ к моему домашнему серверу SSH за границей на компьютерах клиентов. В настоящее время мой сервер SSH настроен на использование аутентификации по паролю на нестандартном порту. Это удобно, потому что я могу просто скачать putty/pscp, делать то, что мне нужно, и делать. Но я обеспокоен рисками безопасности.

Я рассмотрел только возможность аутентификации ключа pub/pri с парольной фразой. Но я не хочу копировать свой закрытый ключ на удаленные машины, если этого можно избежать.

Есть ли лучший подход? Что-то более безопасное, но все же достаточно удобное.

Я думал о настройке двух серверов SSH, один из которых подключен к Интернету, а другой только к локальной сети. Публичный сервер разрешил бы аутентификацию по паролю, но в противном случае был бы заблокирован, чтобы разрешить только ssh доступ к внутреннему серверу (через принудительную команду или что-то еще). Внутренний сервер разрешит доступ по SSH только через аутентификацию pub/pri key, использующую парольную фразу. Теоретически это должно работать, но мне интересно, есть ли более простой способ.

|источник

4 ответа4

4

Если вы готовы потратить немного денег, вы можете получить yubikey, а затем использовать модуль Yubico PAM. При этом вы можете настроить двухфакторную аутентификацию. Для входа в систему потребуется как ваш Yubikey, так и пароль.

|источник
1

Проверьте opie-сервер для механизма одноразового пароля.
Вот одно краткое введение.

|источник
0

Получите флэш-накопитель USB. Скопируйте туда свой открытый ключ. Пока вы там, вы также можете скопировать на него PuTTY, pscp и pageant, чтобы вам не приходилось загружать его несколько раз.

|источник
0

Как упоминал Зоредаче, Yubikey работает очень хорошо. Это дешевое, но прочное устройство, которое вы обычно держите в своей цепочке для ключей. Он эмулирует USB-клавиатуру и генерирует одноразовый пароль при касании. Модуль PAM на вашем сервере проверяет этот пароль.

Я настроил PAM, чтобы разрешить два метода аутентификации, так как я хотел иметь легкий доступ, когда я нахожусь на доверенной машине или при использовании переадресации агента SSH:

  1. Проверка подлинности Pubkey всегда разрешена.
  2. Если вы аутентифицируетесь с помощью пароля, тогда вам потребуется Yubikey OTP.

Для варианта 2 одноразовый пароль Yubikey просто необходимо добавить к обычному паролю перед нажатием кнопки ввода. Я поместил об этом напоминании в баннер, который SSH показывает перед входом в систему, потому что я, вероятно, забуду, как ввести токен Yubikey.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .