Я подумываю установить двухфакторную аутентификацию для своих учетных записей SSH (OpenSSH, Ubuntu). Я смотрел в Authy-SSH но мне интересно, каковы возможные недостатки?
Кроме того, могу ли я заблокировать себя, когда сервер не синхронизируется по времени или когда я потеряю свой телефон?
Аутентификация на основе ключей с привязанными ключами (то есть ключами, ограниченными диапазоном IP-адресов, из которого они могут использоваться, и / или командой, которую они могут использовать для вызова) - довольно безопасный способ использования ресурсов на основе SSH из скрипты. Если вы полностью перейдете на 2FA sshd, вы теряете возможность доступа к ресурсам автоматизированных задач без вмешательства оператора.
Вам необходимо решить, хотите ли вы использовать двухфакторную аутентификацию самостоятельно или доверять внешнему объекту. Это не только для того, чтобы не доверять аутентификации, но и для того, чтобы не доверять любому злоумышленнику, который может перехватить запрос аутентификации.
Каждый раз, когда вы хотите войти в систему через SSH, на authy.com отправляется запрос HTTP API. Authy решает, предоставляется ли доступ или нет.
Существуют и другие размещенные службы, такие как authy, но есть также решения, которые вы можете запускать самостоятельно, и таким образом вы контролируете решение об аутентификации. Вы можете использовать Google Authenticator PAM модуль или Юбикей, которые работают локально. Или вы можете разместить свой собственный сервер аутентификации, например конфиденциальность. (Displaimer: я разработчик privacyIDEA).
Для меня также немного странно использовать ForceCommand и не предоставлять модуль PAM для интеграции в стек PAM. Если это был интегрирована в стек pam, тогда вы можете выполнять сценарии резервного копирования, например: если OTP не работает, аутентификация по-прежнему выполняется с помощью пароля или ключа ssh ...
Вы не можете заблокировать вас, когда вы не синхронизируетесь. Есть средства для повторной синхронизации. Вы не можете заблокировать вас, когда потеряете свой телефон. Вы всегда можете попросить authy ответить «да» на следующий запрос аутентификации - как бы там ни было ;-)