Я пытаюсь решить, будут ли ключи OTP (Wikid) или Ssh практически более безопасными в следующих сценариях:
Вариант 1 - Wikid OTP: 3 сервера @ Slicehost; общая частная сеть, по которой проходит трафик авторизации радиуса. Хосты соответственно защищены брандмауэром, так что только мои серверы могут взаимодействовать с сервером radius. Предполагая, что хост Xen (slicehost) не скомпрометирован, а их частная сеть заслуживает доверия, никакие другие гости не должны иметь возможность вмешиваться в мой трафик радиуса, обеспечивая разумную (по стоимости) безопасную и гибкую настройку
Вариант 2 - старые добрые ключи Ssh: 3 сервера @ slicehost; Нет общей частной сети между серверами. Я создаю ключи ssh, защищенные надежным паролем. Просто и эффективно, если мой ноутбук не пострадает.
Каковы плюсы / минусы соответствующих решений?
Вариант 2, вероятно, будет лучшим выбором для вашей установки с 3 серверами. Если у вас было 10 или 100 серверов, вероятно, стоит потратить время на настройку Radius auth на этом этапе. SSH прост, безопасен и эффективен. Я бы потратил немного времени и ужесточил настройки SSH по умолчанию. Некоторые ценности, которые я хотел бы изменить:
Port 9822 # something other than 22
PermitRootLogin no # or without-password if you must login as root
PasswordAuthentication no # only allow SSH key logins
И если вы знаете имена пользователей, которые будут входить в систему:
AllowUsers usernames
У SSH есть множество опций. Вы можете запустить man 5 sshd_config чтобы увидеть их всех.
Радиус сложно настроить, и на его обслуживание уходит много времени. У него также обычно есть точки отказа. Если у вас всего три сервера, используйте старые добрые ключи ssh для простоты и надежности. Когда вы разрабатываете системы безопасности, очень важно уметь полностью понимать реализацию. В отличие от Radius, SSH хорошо понимает большинство администраторов.
Чтобы дать некоторые из преимуществ Radius, это лучше, чем ключи ssh в более крупной среде с большим количеством пользователей и администраторов, где вам нужна централизованная аутентификация и авторизация. Вы видите довольно много сообщений вроде «Мой администратор уходит, как мне не допустить его или ее в мои системы?»; Радиус - одно из решений, упрощающих ответ на этот вопрос.
Тем не менее, для представленного вами простого случая ключи SSH кажутся прекрасным решением. Отключите другие методы аутентификации SSH, не храните копии закрытых ключей на удаленных серверах, возможно, депонируйте или иным образом убедитесь, что у вас есть резервные копии ваших закрытых ключей на случай, если у портативного компьютера, на который вы ссылаетесь, возникнет сбой.