Security

sshd_config 與 authorized_keys 命令參數

  • August 7, 2012

背景:我將 OTP 令牌身份驗證添加到我的 Web 伺服器。我用命令修改了/etc/ssh/sshd_config文件ForceCommand /token/script

問題:我有一個本地 Jenkins 實例連接到 Web 伺服器進行部署;Jenkins 無法輸入令牌資訊或響應電話(儘管誰知道,我敢打賭,甚至還有一個外掛!)。

可能的解決方案:使用~/user/authorized_keys命令參數在所有鍵上強制使用令牌腳本,除了 jenkins 使用的鍵。

問題:authorized_keys 方法比全域 sshd_config 方法安全性如何?你認為這是一個可以接受的權衡嗎?有沒有更好的解決方案(允許 Jenkins 進行從屬部署,同時讓其他所有人都被令牌身份驗證鎖定?)。

我已經嘗試了這兩種方法,並且都像魅力一樣工作。我發現第二種方法在部署方面更實用,但它給我帶來了某種內部危險信號。我不知道我是不是在追鬼(帶著紅旗)。討論!

使用Match您的命令對使用者應用與對其他使用者sshd_config不同的規則:jenkins

  • 匹配:引入條件塊。如果匹配行上的所有條件都滿足,則以下行中的關鍵字將覆蓋配置文件全域部分中設置的關鍵字,直到另一個匹配行或文件末尾。

有關完整文件,請參見sshd_config手冊頁。

引用自:https://serverfault.com/questions/415291