Se você estiver disposto a gastar algum dinheiro, poderá obter um yubikey e usar o módulo PAM do Yubico . Com isso, você pode configurar a autenticação de dois fatores. Para fazer login, seria necessário o seu Yubikey e uma senha.
Muitas vezes preciso de acesso ao meu servidor ssh doméstico enquanto estiver no exterior em máquinas de clientes. Atualmente, meu servidor ssh está configurado para usar autenticação de senha em uma porta não padrão. É conveniente porque eu posso baixar o putty / pscp, fazer o que preciso fazer e fazer. Mas estou preocupado com os riscos de segurança.
Eu considerei apenas permitir a autenticação de chave pub / pri com uma frase secreta. Mas eu realmente não quero copiar minha chave privada em máquinas remotas, se isso puder ser evitado.
Existe uma abordagem melhor? Algo que é mais seguro, mas ainda razoavelmente conveniente.
Eu tinha pensado em configurar dois servidores ssh, um exposto à internet, o outro apenas para a LAN. O servidor público permitiria a autenticação de senha, mas, de outra forma, seria bloqueado para permitir apenas o acesso ssh ao servidor interno (por meio de um comando forçado ou algo assim). O servidor interno só permitiria acesso ssh via autenticação de chave pub / pri que usa uma frase secreta. Em teoria, deveria funcionar, mas me pergunto se existe uma maneira mais simples.
Verifique o opie-server para obter um mecanismo de senha única.
Aqui está uma breve introdução .
Obtenha um pen drive USB. Copie sua chave pública para lá. Contanto que você esteja lá, copie o PuTTY, o pscp e o concurso para que você não precise fazer o download várias vezes.
Como Zoredache mencionou, um Yubikey funciona muito bem. É um dispositivo barato, mas robusto, que você costuma manter no seu chaveiro. Ele emula um teclado USB e gera uma senha de uso único quando você a toca. Um módulo PAM no seu servidor verifica essa senha.
Configurei o PAM para permitir dois métodos de autenticação, pois queria ter ainda acesso fácil quando estou em uma máquina confiável ou ao usar o encaminhamento de agente SSH:
Para a opção 2, a senha única do Yubikey precisa ser anexada à senha normal, antes de pressionar enter. Eu coloquei um sobre este lembrete no banner que o SSH mostra antes do login, porque eu provavelmente esquecerei como inserir o token do Yubikey.