OpenSSH ile hem şifre hem de ortak anahtar kimlik doğrulamasını nasıl etkinleştirebilirim

10

SSHD'nin kullanıcıların ortak anahtarını doğrulamasını ve daha sonra yalnızca biri veya diğeri yerine parolalarını istemesini istiyorum. Mümkün mü?

ssh  authentication  password  public-key 
sürpriz_
kaynak

Yanıtlar:

12

Bu nihayet yapılandırma seçeneği kullanılarak OpenSSH 6.2'den (Mart 2013'te piyasaya sürülmüştür) ulaşılabilir AuthenticationMethods.

Örneğin, sshd_confighem ortak anahtar hem de parola kimlik doğrulaması gerektirecek şu satırı ekleyebilirsiniz :

AuthenticationMethods publickey,password

Oturum açarken sshve scpönce ortak anahtar kimlik doğrulaması gerçekleştirir ve ardından bir parola ister:

$ ssh user@example.org
Authenticated with partial success.
user@example.org's password:

Özel anahtar dosyanızda bir parolanız varsa, elbette önce sizden istenir. PuTTY kullanılan örnek :

Using username "user".
Authenticating with public key "rsa-key-20131221-user"
Passphrase for key "rsa-key-20131221-user":
Further authentication required
user@example.org's password:
Søren Løvborg
kaynak
1

OpenSSH'nin RHSS / CentOS 6.3'teki OpenSSH artık bu özelliği destekliyor, ancak OpenSSH sürüm notlarında bahsedilemiyor. Gönderen RHEL sürüm notları :

SSH artık birden çok kimlik doğrulama yöntemi gerektirecek şekilde ayarlanabilir (daha önce SSH, başarılı bir giriş için yalnızca bir tanesinin gerekli olduğu birden fazla kimlik doğrulama yöntemine izin verirken); örneğin, SSH özellikli bir makinede oturum açmak için hem parola hem de ortak anahtar girilmesi gerekir. RequiredAuthentications1Ve RequiredAuthentications2seçenekleri yapılandırılabilir /etc/ssh/sshd_config. Başarılı bir günlüğüne için gereken Örneğin kimlik denetimi belirtmek için dosyanın:

  ~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config

Yukarıda belirtilen /etc/ssh/sshd_configseçenekler hakkında daha fazla bilgi için kılavuz sshd_configsayfasına bakınız .

mgorven
kaynak
0

Mümkün ama küfürlü ve sınırlı bir şekilde. İlk önce yalnızca ortak anahtar kimlik doğrulamasına izin verirsiniz. Ardından , şifreyi kontrol edecek bir komut dosyası yürüten bir /etc/ssh/sshd_configekleyin ForceCommand.

Komutun sftp olup olmadığını ve parola olmadan izin vermediğini sürece komut dosyası SFTP'yi kırar.

Bunu daha önce hiç denemedim, böylece biri daha fazla sorun görebilir.

Mark Wagner
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.