Debian SSH iki adım kimlik doğrulaması

İki parola gibi iki adım kimlik doğrulamasını nasıl ayarlayabilirim?

En son SSH ile Debian 7'de. Ve Google auth veya benzeri bir şey kullanmadan.

ssh security debian

— PSSGCSim
kaynak

Tıpkı bir güvenlik noktası olarak: İki parolaya sahip olmak, iki parola birleştirildiği sürece bir parolaya sahip olmakla işlevsel olarak aynıdır. Diğer bir deyişle, her iki parolanın tek tek doğru olup olmadığı hakkında bilgi göstermediğiniz sürece. Bu durumda, iki parola yaklaşımı bir uzun paroladan daha kötüdür.

— Slartibartfast

Peki ya sembollerle birlikte iki uzun alfanum şifresi daha iyi olacak? Veya Google auth veya başka bir şey değil, kendi sistemlerini kullanarak SMS’ten şifre ve kod mu?

— PSSGCSim

İki şifre işlevsel olarak birleştirilmiş iki şifreden oluşan bir şifreden daha iyi değildir. Bunun yerine, genellikle daha kötüdürler. Yaptığım tek nokta bu. Diğer "iki faktör" yanılsamaları hakkında farklı görüşlerim var, ancak bunlar burada bağlam dışında.

— Slartibartfast

Bunun için ne istiyorsun? Normal ssh anahtar doğrulaması gerçekten yeterli olmalıdır. Neyse, bunu gerçekten yapmak istiyorsan, bir yol, kullanıcıyı bağlantı üzerine bir şifre girmeye zorlamaktır. Bunu açıklayan Sunucu Arızasında güzel bir cevap var.

Temel yaklaşım, kullanıcıyı farklı bir parola için yönlendiren bağlantı üzerine bir komut dosyası çalıştırmaktır. Bunu, dosyanızdaki ForceCommandyönergeyi kullanarak yapabilirsiniz ssh_config. Açıklandığı gibi man sshd_config:

  ForceCommand
         Forces the execution of the command specified by ForceCommand,
         ignoring any command supplied by the client and ~/.ssh/rc if
         present.  The command is invoked by using the user's login shell
         with the -c option.  This applies to shell, command, or subsystem
         execution.  It is most useful inside a Match block.  The command
         originally supplied by the client is available in the
         SSH_ORIGINAL_COMMAND environment variable.  Specifying a command
         of “internal-sftp” will force the use of an in-process sftp
         server that requires no support files when used with
         ChrootDirectory.

Dolayısıyla, bunu bir şifre isteyen ve doğru olanı alamazsanız bağlantıyı öldüren bir komut dosyasına işaret ederseniz, iki adımlı bir doğrulama ayarlamış olacaksınız.

— Terdon
kaynak