Linux
基於 SSH 密鑰的身份驗證最佳實踐
我們正在考慮改變的安全流程之一是我們允許使用者訪問我們伺服器的方式。我們有大約 20 個 Web 伺服器,唯一的訪問是 SSH,目前我們使用密碼驗證。隨著基於密鑰的身份驗證更加安全,我必須考慮如何最好地管理這個過程。
如果我們有 8 個遠端使用者都使用不同的機器,我們如何控制密鑰身份驗證,因為這些機器中的每一個都需要伺服器的密鑰。管理是在客戶端級別還是伺服器級別?當使用者更換他的筆記型電腦或嘗試從不同的機器/位置遠端訪問時會發生什麼?
除此之外,我們正在研究:
更改 SSH 埠 我們已經禁用了 root 查看使用 PAM 白名單 IP 訪問伺服器的 google-authenticator?用於伺服器跳躍的安全 SSH 伺服器?
還有什麼遺漏的嗎?
每個使用者都應該生成自己的密鑰對並向您提供公鑰的副本,您將把它放入適當的 AuthorizedKeysFile(通常為 ~/.ssh/authorized_keys),或者他們可以將其放入自己的 ~/.ssh/authorized_keys 文件中.
應該要求他們在私鑰上設置密碼。當他們更換筆記型電腦時,他們只需隨身攜帶一份私鑰副本(這是一個簡單的文本文件)。
如果您的使用者有智能手機,那麼您可以使用Duo 之類的服務(很容易安裝和設置)或者您不是 google auth來添加兩步身份驗證(無論如何都是一件好事) 。