我有一个启用了基于密码的 SSH 的 FreeBSD 服务器。我想启用sudo,但我不希望潜在的攻击者远离 root 访问的一个密码。我当前的解决方案是使用公钥以 root 身份登录(对 root 禁用远程密码身份验证),而我的普通用户不在轮子中,sudo也没有安装。
过去,我使用一次性密码进行 sudo 访问(我可以公开密钥进入系统,但 sudo 需要 OTP,并且有 30 分钟的超时时间让我无需重新验证所有时间)。然而,这是相当麻烦的,至少对于 OPIE/S/Key 来说是这样。使用硬件令牌可能没问题,但我目前没有。
我一直在寻找可以让我通过代理转发使用 SSH 公钥对 sudo 进行身份验证的东西。 pam_sshFreeBSD 包含的似乎并没有这样做——它只是通过查看用户是否可以解密服务器上的私钥来进行身份验证。我找到了pam_ssh_agent_auth,但我在其他地方发现很少提及它。现在是 0.9,但我有点犹豫是否相信通往根目录的程序的网关,我找不到太多人们实际使用的证据。
所以,我的问题基本上是2:
pam_ssh_agent_auth在野外使用可靠吗?- 是否有另一个好的解决方案来启用 sudo,同时仍然有超过登录密码的障碍?我曾想过拥有第二个具有 sudo 访问权限且没有密码身份验证的帐户,但这似乎也有些麻烦。