只需簡單 2 步,讓你的 SSH 更加安全

運維之美2019-09-06 08:20:39


從 OpenSSH 6.2 開始已經支持 SSH 多因素認證,本文就來講講如何在 OpenSSH 下啟用該特性。


OpenSSH 6.2 以後的版本多了一個配置項 AuthenticationMethods。該配置項可以讓 OpenSSH 同時指定一個或多個認證方式,只有所有認證方式都通過後才會被認為是認證成功。


比如:要指定賬户必須同時擁有指定的密鑰和正確的密碼才能登陸,則可以這樣配置。

# 不要忘記開啟這些認證方式PubkeyAuthentication yesPasswordAuthentication yesAuthenticationMethods publickey,password
注:多個認證方式之間用 , 分隔開來。


你也可以設置多組多因素認證,只要每組認證用空格分隔開就行。


比如:你要設置登陸用户必須有合適的密鑰,然後若是用户來自於授信主機,則讓他直接登陸,否則還需要輸入密碼才能登陸。我們可以類似下面這樣配置: 

AuthenticationMethods publickey,password publickey,hostbased


開啟多因素認證有一個不好的地方就是對自動化腳本很不友好。因此一般來説多因素認證會跟 Match User 或 Match Group 一起連用,用來限制某些用户開啟或者不開啟雙因素認證。

比如:一個比較常見的場景可能就是為有管理權限的用户設置多因素認證。

PubkeyAuthentication yesPasswordAuthentication yes
Match Group wheel  AuthenticationMethods publickey,password


當然,你也可以為一般用户都開啟多因素認證,但提供某些密鑰認證的用户來給自動化腳本使用。

AuthenticationMethods publickey,password
Match User git AuthenticationMethods publickey ForceCommand /usr/bin/git-shell -c "$SSH_ORIGINAL_COMMAND"

來源:GitHub
原文:
http://t.cn/AiKoNTOH
題圖:
來自谷歌圖片搜索 
版權:
本文版權歸原作者所有
投稿:歡迎投稿,投稿郵箱: [email protected]


推薦閲讀

  • 談談 Linux 假死現象

  • 談談互聯網架構

  • 命令行的藝術

  • 淺談集羣、分佈式、微服務的異同

  • 解讀等級保護制度 2.0 新標準



圖説生活


這裏將分享一些記錄生活的日常隨拍




拍攝於:藍橄欖,重慶,2019


https://hk.wxwenku.com/d/201319766