sshd_config 與 authorized_keys 命令參數

背景：我將 OTP 令牌身份驗證添加到我的 Web 伺服器。我用命令修改了/etc/ssh/sshd_config文件ForceCommand /token/script。

問題：我有一個本地 Jenkins 實例連接到 Web 伺服器進行部署；Jenkins 無法輸入令牌資訊或響應電話（儘管誰知道，我敢打賭，甚至還有一個外掛！）。

可能的解決方案：使用~/user/authorized_keys命令參數在所有鍵上強制使用令牌腳本，除了 jenkins 使用的鍵。

問題：authorized_keys 方法比全域 sshd_config 方法安全性如何？你認為這是一個可以接受的權衡嗎？有沒有更好的解決方案（允許 Jenkins 進行從屬部署，同時讓其他所有人都被令牌身份驗證鎖定？）。

我已經嘗試了這兩種方法，並且都像魅力一樣工作。我發現第二種方法在部署方面更實用，但它給我帶來了某種內部危險信號。我不知道我是不是在追鬼（帶著紅旗）。討論！

使用Match您的命令對使用者應用與對其他使用者sshd_config不同的規則：jenkins

• 匹配：引入條件塊。如果匹配行上的所有條件都滿足，則以下行中的關鍵字將覆蓋配置文件全域部分中設置的關鍵字，直到另一個匹配行或文件末尾。

有關完整文件，請參見sshd_config手冊頁。

引用自：https://serverfault.com/questions/415291