Мне интересно, есть ли способ получить ssh-сервер, чтобы разрешить взаимодействие с пользователем, например запрос на доступ?
Я обнаружил какой-то плагин pam, позволяющий использовать 2FA, но пока я не могу найти ничего, связанного с запросом на доступ. Наличие плагина pam для 2FA означает, что возможно хотя бы ограниченное взаимодействие, но как насчет способа заставить пользователя запрашивать доступ?
Известно ли вам о каких-либо плагинах или усилиях по разработке по этой конкретной теме?
Пока демон sshd настроен на использование PAM (остерегайтесь использования открытых ключей, которые могут изменить принцип работы!), Этого можно добиться с помощью (настраиваемого?) Плагина PAM.
Это может сломать любые инструменты автоматизации (ssh / scp / sftp в скриптах, Ansible и т. Д.), Которые у вас есть, поэтому вам следует проявлять большую осторожность при применении такого плагина. 2FA, вероятно, будет в той же лодке здесь, по крайней мере, до некоторой степени (например, токен RSA будет запрашивать только, если пользователю назначен токен, я полагаю).
Однако, с точки зрения корпоративного центра обработки данных, я бы посоветовал, возможно, было бы лучше вернуться к тому, почему вы это делаете, поскольку вы, вероятно, также хотели бы записывать, что делает пользователь (по крайней мере, для некоторых классов пользователей), и иметь некоторые полезный механизм для отчетности / аудита этого.
И, вероятно, вы захотите сделать аналогичные вещи для таких вещей, как веб-консоли и сеансы Windows RDP.
И вы, вероятно, захотите что-то сделать с учетными данными, регулярно контролируя доступ и меняя учетные данные. Это то, что обычно возникает при проверках.
Это решенные проблемы в сфере коммерческой безопасности. Один поставщик, о котором я слышал, который делает все это в одном (?) Пакете, - это CuberARK, и я знаю, что есть по крайней мере еще один крупный игрок. Я не могу поручиться ни за что лично, так как не использовал его.