Prática recomendada de autenticação baseada em chave SSH

Navegue suas respostas
3

Um dos processos de segurança que estamos pensando em mudar é o modo como permitimos que os usuários acessem nossos servidores. Temos cerca de 20 servidores web onde o único acesso é SSH e no momento usamos autenticação por senha. Com a autenticação de base de chave sendo mais segura, tenho que considerar a melhor forma de gerenciar esse processo.

Se tivermos 8 usuários remotos usando máquinas diferentes, como controlamos a autenticação de chave, pois cada uma dessas máquinas precisará da chave do servidor. O gerenciamento é feito no nível do cliente ou no nível do servidor? O que acontece quando o usuário muda de laptop ou tenta se conectar de outra máquina / local?

Com exceção disso, estamos analisando:

Alterando a porta SSH Já temos o root disabled Olhando para o google-authenticator usando o PAM Whitelist IP's para acesso ao servidor? Servidor SSH seguro para salto de servidor?

Algo mais foi esquecido?

    
por Grimlockz 11.03.2013 / 17:38

1 resposta

7

Cada usuário deve gerar seu próprio par de chaves e fornecer uma cópia da chave pública que você colocará no AuthorizedKeysFile apropriado (normalmente ~ / .ssh / authorized_keys) ou eles podem colocá-lo em seus próprios ~ / .ssh / authorized_keys file.

Eles devem ser obrigados a definir uma frase secreta na chave privada. Quando eles mudam de laptop, eles simplesmente pegam uma cópia da chave privada com eles (é um arquivo de texto simples).

Se seus usuários tiverem um smartphone, você poderá adicionar a autenticação em duas etapas (uma coisa boa, de qualquer maneira) usando um serviço como Duo (que é muito fácil de instalar e configurar) ou como você não google auth.

    
por 11.03.2013 / 17:55

Tags

Como descubro qual programa de e-mail está instalado / enviando e-mails? Pass --nogpgcheck para yum via fantoche