É possível e viável configurar uma caixa linux para primeiro requerer um arquivo de chave válido antes de solicitar as credenciais da conta local do usuário? Nossa configuração é que temos que abrir o ssh em uma máquina para a internet, mas há apenas duas pessoas que precisariam usá-lo. Queremos bloquear o garoto mau o mais strong possível. Já estamos implementando o usual, firewall, denyhosts, etc, mas se isso for possível, eu gostaria de colocá-lo também. Todas as respostas são bem-vindas!
Se as suas chaves SSH já tiverem uma frase secreta (que deveriam), então você já está fazendo dois fatores, e IMO, adicionando a senha da conta local a esse processo, não vai dar muito além de usuários irritados.
Se sua intenção for permitir que apenas dois usuários façam login via SSH, você poderá usar os recursos de configuração AllowGroups e / ou AllowUsers em seu sshd_config.
Verifique a página man do sshd_config para ver quais opções estão disponíveis. HostBasedAuthentication parece promissor.
Se você não encontrar o que precisa (e mesmo se puder), poderá bloquear o que pode ser feito na máquina, exigindo o uso do sudo para várias funções - que podem ser configuradas para exigir uma senha. , registre tudo que é feito e IMHO deve ser configurado pelo menos como padrão em qualquer servidor Linux que você use.
Veja a man page para sudo e sudoers, é claro, mas também uma boa discussão sobre minha página favorita sobre como proteger o linux servidores
Pelo que eu encontrei, é que o servidor SSH2 comercial, agora o servidor Tectia SSH suporta a opção RequiredAuthentications config que faz exatamente o que você quer.
Tags ssh password authentication keys