只需简单2步,让你的SSH更加安全

 只需简单2步,让你的SSH更加安全

从 OpenSSH 6.2 开始已经支持 SSH 多因素认证,本文就来讲讲如何在 OpenSSH 下启用该特性。

OpenSSH 6.2 以后的版本多了一个配置项 AuthenticationMethods。该配置项可以让 OpenSSH 同时指定一个或多个认证方式,只有所有认证方式都通过后才会被认为是认证成功。

比如:要指定账户必须同时拥有指定的密钥和正确的密码才能登陆,则可以这样配置。

  1. # 不要忘记开启这些认证方式
  2. PubkeyAuthentication yes
  3. PasswordAuthentication yes
  4. AuthenticationMethods publickey,password

注:多个认证方式之间用 , 分隔开来。

你也可以设置多组多因素认证,只要每组认证用空格分隔开就行。

比如:你要设置登陆用户必须有合适的密钥,然后若是用户来自于授信主机,则让他直接登陆,否则还需要输入密码才能登陆。我们可以类似下面这样配置:

  1. AuthenticationMethods publickey,password publickey,hostbased

开启多因素认证有一个不好的地方就是对自动化脚本很不友好。因此一般来说多因素认证会跟 Match User 或 Match Group 一起连用,用来限制某些用户开启或者不开启双因素认证。

比如:一个比较常见的场景可能就是为有管理权限的用户设置多因素认证。

  1. PubkeyAuthentication yes
  2. PasswordAuthentication yes
  3. Match Group wheel
  4.   AuthenticationMethods publickey,password

当然,你也可以为一般用户都开启多因素认证,但提供某些密钥认证的用户来给自动化脚本使用。

  1. AuthenticationMethods publickey,password
  2. Match User git
  3.     AuthenticationMethods publickey
  4.     ForceCommand /usr/bin/git-shell -c “$SSH_ORIGINAL_COMMAND”

 

极牛网精选文章《只需简单2步,让你的SSH更加安全》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/6741.html

(33)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2019年8月23日 下午2:29
下一篇 2019年8月30日 上午11:08

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部