Bob Ortiz Asked: 2016-06-24 01:34:43 +0800 CST2016-06-24 01:34:43 +0800 CST 2016-06-24 01:34:43 +0800 CST 在 SSH 上使用两因素身份验证(如 Authy-SSH)有哪些缺点? 772 我正在考虑在我的 SSH 帐户(OpenSSH、Ubuntu)上设置两因素身份验证。我正在研究Authy-SSH但我想知道可能的缺点是什么? 另外,当服务器时间不同步或我丢失手机时,我可以将自己锁定吗? authentication ssh 2 个回答 Voted Best Answer cornelinux 2016-06-24T02:30:51+08:002016-06-24T02:30:51+08:00 如果您想信任外部实体,您需要决定是否要自行执行 2FA。这不仅是不信任身份验证,而且是不信任任何可能拦截身份验证请求的攻击者。 每次您想通过 SSH 登录时,都会向 authy.com 发送一个 HTTP API 请求。Authy 决定是否授予访问权限。 还有其他托管服务,例如 authy,但也有一些您可以自己运行的解决方案,因此您可以控制身份验证决策。您可以使用本地工作的google 身份验证器 PAM模块或 Yubikey。或者您可以托管自己的身份验证服务器,例如privacyIDEA。(免责声明:我是privacyIDEA 的开发者)。 对我来说,使用 ForceCommand 并且不提供要集成到 PAM 堆栈中的 PAM 模块听起来也有点奇怪。如果它被集成到 pam 堆栈中,那么您可以执行以下备份方案:如果 OTP 失败仍然使用密码或 ssh 密钥进行身份验证... 当您不同步时,您无法锁定您。有重新同步的方法。当您丢失手机时,您无法锁定您。您总是可以要求 authy 对下一个身份验证请求说“是” - 但它看起来像 ;-) MadHatter 2016-06-25T05:16:56+08:002016-06-25T05:16:56+08:00 使用绑定密钥的基于密钥的身份验证(即,受可使用的 IP 范围和/或可用于调用的命令限制的密钥)是一种能够使用基于 SSH 的资源的非常安全的方法脚本。如果您完全启用 2FA sshd,您将无法在没有操作员干预的情况下让自动化任务访问资源。
如果您想信任外部实体,您需要决定是否要自行执行 2FA。这不仅是不信任身份验证,而且是不信任任何可能拦截身份验证请求的攻击者。
每次您想通过 SSH 登录时,都会向 authy.com 发送一个 HTTP API 请求。Authy 决定是否授予访问权限。
还有其他托管服务,例如 authy,但也有一些您可以自己运行的解决方案,因此您可以控制身份验证决策。您可以使用本地工作的google 身份验证器 PAM模块或 Yubikey。或者您可以托管自己的身份验证服务器,例如privacyIDEA。(免责声明:我是privacyIDEA 的开发者)。
对我来说,使用 ForceCommand 并且不提供要集成到 PAM 堆栈中的 PAM 模块听起来也有点奇怪。如果它被集成到 pam 堆栈中,那么您可以执行以下备份方案:如果 OTP 失败仍然使用密码或 ssh 密钥进行身份验证...
当您不同步时,您无法锁定您。有重新同步的方法。当您丢失手机时,您无法锁定您。您总是可以要求 authy 对下一个身份验证请求说“是” - 但它看起来像 ;-)
使用绑定密钥的基于密钥的身份验证(即,受可使用的 IP 范围和/或可用于调用的命令限制的密钥)是一种能够使用基于 SSH 的资源的非常安全的方法脚本。如果您完全启用 2FA
sshd,您将无法在没有操作员干预的情况下让自动化任务访问资源。