Como eu configuro o SSH para que o OTP possa ser usado com o ssh-copy-id e somente a autorização do keypair seja aceita?

Navegue suas respostas
5

Como você pode dizer a partir do título deste post, parte da minha confusão pode derivar de uma incapacidade de expressar a questão, por favor, tenha paciência comigo. Aqui está o que estou tentando realizar:

question: Existe uma maneira de dizer ao daemon SSH, "quando um dispositivo remoto tenta se conectar via SSH, verifique com authorized_keys, mas se não houver nenhuma chave oferecida, aceite uma única vez senha para que o usuário possa usar ssh-copy-id para fornecer as tentativas subsequentes "?

contexto: Eu gostaria de ser capaz de configurar um servidor Linux para que um usuário possa SSH na caixa, mas eu quero usar os pares de chaves RSA para autenticação. Eu também tenho vários dispositivos que eu quero ser capaz de se conectar, o que significa fornecer vários pares de chaves (não um problema).

Essencialmente, quero adicionar entradas a authorized_keys usando OTP e ssh-copy-id, de um dispositivo que, no momento, teria o acesso negado (porque ainda não apresentou uma chave pública). Eu tenho atualmente a SSH em uma máquina que pode conectar, editar o arquivo sshd_config para permitir senhas, em seguida, copiar o id com uma senha estática, desativar a autenticação de senha e reiniciar o daemon. Eu preferiria uma maneira de obter um OTP do sistema e depois usá-lo e continuar trabalhando ...

Quaisquer ponteiros seriam apreciados; obrigado

    
por kvorak 29.07.2015 / 19:35

1 resposta

2

A autenticação de chave pública é ativada por padrão e tem prioridade mais alta do que autenticação de senha (tratada pelo PAM ou diretamente).

Você pode configurar sshd_config option UsePAM yes (por padrão na Red Hat), o que irá adiar a autenticação para o PAM - isso é configurado em /etc/pam.d/sshd (pode diferir um pouco em alguns sistemas).

Para o OTP, você pode usar google_authenticator ou alguma outra implementação aberta de senhas de uso único. Existem muitos procedimentos por aqui. Você pode tentar procurar por autenticação de dois fatores, mas basicamente está adicionando uma linha como essa 

 auth            required        pam_google_authenticator.so

no /etc/pam.d/sshd e fazer algumas configurações: o Arch tem boas instruções para isso: link

Usar somente senhas de uso único, sem o segundo fator, pode ser um risco em potencial se a senha ou o token descartados se perderem - recomendo que você não siga esse caminho e implemente a autenticação de dois fatores em vez de apenas uma vez senha.

    
por 29.07.2015 / 21:13

Tags

Como descobrir o que está iniciando uma varredura de porta à noite do meu Linux? restringe o repositório privado do apt com o rssh - por que o apt-get tenta / bin / sh?