背景:我将 OTP 令牌身份验证添加到我的 Web 服务器。我用命令修改了/etc/ssh/sshd_config文件ForceCommand /token/script。
问题:我有一个本地 Jenkins 实例连接到 Web 服务器以进行部署;Jenkins 无法输入令牌信息或响应电话(虽然谁知道,我敢打赌甚至有一个插件!)。
可能的解决方案:使用~/user/authorized_keys命令参数在所有密钥上强制执行令牌脚本,jenkins 使用的密钥除外。
问题:与全局 sshd_config 方法相比,authorized_keys 方法的安全性如何?你认为这是一个可以接受的权衡吗?是否有更好的解决方案(允许 Jenkins 进行从属部署,同时让其他所有人都使用令牌身份验证锁定?)。
我已经尝试了这两种方法,并且都非常有效。我发现第二种方法在部署方面更实用,但它给我带来了某种内部危险信号。我不知道我是不是在追鬼(带着红旗)。讨论!
使用
Match您的命令sshd_config向jenkins用户应用与对其他用户不同的规则:有关完整文档,请参见
sshd_config手册页。