Security
sshd_config 與 authorized_keys 命令參數
背景:我將 OTP 令牌身份驗證添加到我的 Web 伺服器。我用命令修改了
/etc/ssh/sshd_config
文件ForceCommand /token/script
。問題:我有一個本地 Jenkins 實例連接到 Web 伺服器進行部署;Jenkins 無法輸入令牌資訊或響應電話(儘管誰知道,我敢打賭,甚至還有一個外掛!)。
可能的解決方案:使用
~/user/authorized_keys
命令參數在所有鍵上強制使用令牌腳本,除了 jenkins 使用的鍵。問題:authorized_keys 方法比全域 sshd_config 方法安全性如何?你認為這是一個可以接受的權衡嗎?有沒有更好的解決方案(允許 Jenkins 進行從屬部署,同時讓其他所有人都被令牌身份驗證鎖定?)。
我已經嘗試了這兩種方法,並且都像魅力一樣工作。我發現第二種方法在部署方面更實用,但它給我帶來了某種內部危險信號。我不知道我是不是在追鬼(帶著紅旗)。討論!
使用
Match
您的命令對使用者應用與對其他使用者sshd_config
不同的規則:jenkins
- 匹配:引入條件塊。如果匹配行上的所有條件都滿足,則以下行中的關鍵字將覆蓋配置文件全域部分中設置的關鍵字,直到另一個匹配行或文件末尾。
有關完整文件,請參見
sshd_config
手冊頁。