Mic*_*and 5 freebsd ssh authentication sudo private-key
我有一个启用了基于密码的 SSH 的 FreeBSD 服务器。我想启用sudo,但我不希望潜在的攻击者成为远离 root 访问权限的密码。我目前的解决方案是使用公钥以 root 身份登录(root 的远程密码身份验证被禁用),我的普通用户不在轮子上,sudo也没有安装。
过去,我使用一次性密码进行 sudo 访问(我可以公开密钥进入系统,但是 sudo 需要一个 OTP,并且有 30 分钟的超时时间让我真正完成工作,而无需重新验证所有时间)。然而,这相当麻烦,至少对于 OPIE/S/Key。使用硬件令牌可能没问题,但目前我没有。
我一直在寻找可以让我通过代理转发使用 SSH 公钥对 sudo 进行身份验证的东西。 pam_sshFreeBSD 中包含的似乎没有这样做——它只是通过查看用户是否可以解密服务器上的私钥来进行身份验证。我找到了pam_ssh_agent_auth,但我在其他地方很少找到对它的引用。它现在是 0.9,但我有点犹豫是否信任根到程序的网关,我找不到很多人实际使用的证据。
所以,我的问题基本上是2:
pam_ssh_agent_auth用在野外可靠吗?小智 2
您已经通过 OTP 解决了这个问题(更多安全性 = 更多箍),我无法对 pam_ssh_agent_auth 发表评论。但似乎您真正关心的不是 sudo 而是网络级访问。换句话说,您似乎关心从一个或多个特定主机而不是特定系统帐户授予用户的权限。如果是这样,请考虑在 SSH 守护程序前面实施端口敲门方案,这样 SSH 只能从特定 IP 且由知道秘密敲门的人访问。之后,来自已知主机的定期旧公钥身份验证就足够了。如果此时攻击者仍然可以获得 shell 访问权限,那么您可能无论如何都会被击败。
我能想到的唯一其他场景是在受信任的主机上使用 ssh 代理,当您位于不受信任的网络上时,您可以从该主机上反弹连接(并且由于您在 bsdworld 中,您甚至可以在您的主机正是这样做的)。就我而言,攻击者具有 shell 访问权限的任何机器都将完全受到损害。他们是否会获得根信用完全没有意义。你最好将精力花在阻止第一次成功的入侵上。
干杯,-G
| 归档时间: |
|
| 查看次数: |
2589 次 |
| 最近记录: |