SSH: การตรวจสอบสองปัจจัย

ปัจจุบันฉันมี Ubuntu Server 12.04 ที่ใช้งาน OpenSSH พร้อมกับ Samba และบริการอื่น ๆ ปัจจุบันฉันมีการตั้งค่าการรับรองความถูกต้องของกุญแจสาธารณะและฉันสงสัยว่ามันเป็นไปได้หรือไม่ที่จะตั้งค่าการตรวจสอบความถูกต้องด้วยสองปัจจัย? ฉันดู Google Authenticator ซึ่งปัจจุบันฉันใช้กับบัญชี Gmail ของฉัน

ฉันพบโมดูล PAM ที่ดูเหมือนว่าจะเข้ากันได้ แต่ดูเหมือนว่าคุณถูกบังคับให้ใช้รหัสผ่านและรหัสที่สร้างขึ้น

ฉันสงสัยว่ามีวิธีใช้แอปพลิเคชัน Google Authenticator (หรือบางอย่างที่คล้ายกัน) พร้อมกับรหัสสาธารณะของฉันเพื่อตรวจสอบสิทธิ์ในเซิร์ฟเวอร์ SSH ของฉันหรือไม่

Red Hat ได้เพิ่ม patch ไปยัง OpenSSH ใน RHEL (และ CentOS) 6.3 เพื่อต้องการกลไกการพิสูจน์ตัวตนหลายอย่างดังนั้นคุณสามารถทำสิ่งนี้:

RequiredAuthentications2 publickey,keyboard-interactive

ดูบันทึกประจำรุ่นสำหรับรายละเอียดที่ไม่มากนัก

น่าเสียดายที่ฟีเจอร์นี้ไม่ได้อยู่ใน OpenSSH upstream หรือ Ubuntu 12.04 ดังนั้นถ้าคุณไม่ต้องการหา patch และคอมไพล์ OpenSSH อีกครั้งฉันเกรงว่าคุณจะโชคไม่ดี

คุณกำลังมองหาDuo Security

คุณสามารถใช้ทั้งโมดูล PAM ของ Google Authenticator และกุญแจสาธารณะ แต่จะใช้เพียงหนึ่งโมดูลเท่านั้นในเวลานั้นสำหรับการตรวจสอบสิทธิ์ที่กำหนด กล่าวคือหากผู้ใช้ล็อกอินด้วยกุญแจสาธารณะที่ได้รับอนุญาตจะไม่ต้องใช้โทเค็น

หรือจะบอกเป็นอย่างอื่น: โทเค็นจำเป็นสำหรับการตรวจสอบรหัสผ่านเท่านั้นไม่ใช่คีย์ SSH

ข้อ จำกัด นี้ไม่ได้มาจากโมดูล Google Authenticator แต่อย่างใด แต่มาจาก SSH ซึ่งใช้การรับรองความถูกต้องสองปัจจัย (ผ่านChallengeResponseAuthentication) สำหรับ PAM แต่ไม่เรียก PAM เมื่อมีการให้รหัสสาธารณะที่ถูกต้อง

คำถามนี้มาจากปี 2012 ตั้งแต่ SSH มีการเปลี่ยนแปลงและโปรโตคอล SSH2 ได้รับการดำเนินการ

ในเวอร์ชันล่าสุดของ SSH (> = 6.2) man sshd_config กล่าวถึง:

AuthenticationMethods
       Specifies the authentication methods that must be successfully completed for a user to be
       granted access.  This option must be followed by one or more comma-separated lists of
       authentication method names.  Successful authentication requires completion of every method
       in at least one of these lists.

       For example, an argument of ``publickey,password publickey,keyboard-interactive'' would
       require the user to complete public key authentication, followed by either password or key-
       board interactive authentication.  Only methods that are next in one or more lists are
       offered at each stage, so for this example, it would not be possible to attempt password or
       keyboard-interactive authentication before public key.

       This option is only available for SSH protocol 2 and will yield a fatal error if enabled if
       protocol 1 is also enabled.  Note that each authentication method listed should also be
       explicitly enabled in the configuration.  The default is not to require multiple authentica-
       tion; successful completion of a single authentication method is sufficient.

หน้านี้http://lwn.net/Articles/544640/ยังกล่าวถึงความเป็นไปได้ในการใช้การพิสูจน์ตัวตนแบบ publickey และ PAM ในเวลาเดียวกัน

ฉันรู้ว่าคำถามนี้ค่อนข้างเก่า แต่เพื่อประโยชน์ของผู้คนในอนาคต (รวมถึงตัวเอง) ที่กำลังมองหาวิธีแก้ปัญหามีการพูดถึงการใช้ตัวเลือก ForceCommand ในไฟล์ sshd_config เพื่อเรียกใช้สคริปต์ซึ่งจะทำการตรวจสอบสิทธิ์ มีสคริปต์ตัวอย่างอยู่ที่นี่คุณสามารถปรับเปลี่ยนได้เล็กน้อยตามความต้องการของคุณแม้ว่าในตัวอย่างนั้นเขาเรียกมันจากไฟล์ที่ได้รับอนุญาตแทนการทำให้ระบบทั่วทั้งระบบด้วย ForceCommand ของ sshd_config

รับ YubiKey และทำตามคู่มือนี้http://berrange.com/posts/2011/12/18/multi-factor-ssh-authentication-using-yubikey-and-ssh-public-keys-together/

AFAIK นี่เป็นวิธีที่ดีที่สุดในการใช้ Yubikey บนเซิร์ฟเวอร์ของคุณสำหรับการเข้าถึง SSH คำแนะนำข้างต้นช่วยให้คุณสามารถใช้กุญแจสาธารณะ + yubikey ในขณะที่ถ้าคุณไปกับคู่มืออย่างเป็นทางการ ( http://code.google.com/p/yubico-pam/wiki/YubikeyAndSSHViaPAM ) มันไม่ทำงานกับ public- สำคัญ.

ขอแสดงความนับถือ, วีไอพี

หากคุณตั้งข้อความรหัสผ่านในคีย์ส่วนตัวของคุณแสดงว่าคุณมีการตรวจสอบสิทธิ์แบบสองปัจจัยแล้ว ในการเข้าสู่ระบบผู้คนจะต้อง:

1. สิ่งที่คุณมี - กุญแจส่วนตัวของคุณ
2. สิ่งที่คุณรู้ - ข้อความรหัสผ่านสำหรับคีย์ส่วนตัวของคุณ