我正在尝试确定 OTP(Wikid)或 Ssh 密钥在以下情况下实际上是否更安全:
选项 1 - Wikid OTP: 3 个服务器 @ Slicehost;radius auth 流量通过的共享专用网络。主机相应地防火墙,以便只有我的服务器可以与半径服务器交谈。假设 Xen 主机 (slicehost) 没有受到威胁,并且他们的专用网络是值得信赖的,其他客人不应该能够篡改我的半径流量,从而提供合理(按成本)安全和灵活的设置
选项 2 - 好的 'ol SSH 密钥: 3 个服务器 @ slicehost;服务器之间没有共享的专用网络。我创建受强密码保护的 ssh 密钥。简单有效,前提是我的笔记本电脑不受影响。
相关解决方案的优点/缺点是什么?
选项 2 可能是您的 3 服务器设置的更好选择。如果您有 10 台或 100 台服务器,那么此时设置 Radius auth 可能是值得的。SSH 简单、安全且有效。我也会花一些时间来收紧默认的 SSH 设置。我喜欢改变的一些价值观:
如果您知道将要登录的用户名:
SSH 有很多选择。你可以跑去
man 5 sshd_config看他们。Radius 设置起来很复杂,维护起来也很耗时。它通常也有故障点。如果您只有三台服务器,请使用良好的 'ol ssh 密钥以实现简单性和可靠性。在设计安全系统时,能够完全理解实施非常重要。与 Radius 不同,大多数管理员都非常了解 SSH。
为了提供 Radius 的一些优点,它比在具有更多用户和管理员的更大环境中需要集中维护的身份验证和授权的 ssh 密钥更好。您会在这里看到很多帖子,例如“我的管理员要离开了,我如何让他或她远离我的系统?”;Radius 是一种解决方案,可以更轻松地回答这个问题。
也就是说,对于您提出的简单案例,SSH 密钥听起来是一个不错的解决方案。禁用其他 SSH 身份验证方法,不要将私钥的副本存储在远程服务器上,也许可以托管或以其他方式确保您拥有私钥的备份,以防万一您引用的笔记本电脑出现故障。