我刚刚将 OpenWRT 安装在我的 Wi-Fi 路由器上,并正在设置它。由于我无法控制的原因,我被要求对所有管理功能使用多因素身份验证。不幸的是,从我目前发现的情况来看,没有人为 OpenWRT 的登录实现 TOTP 或 Yubikey 支持(如果我在这一点上错了,请告诉我)。
为了能够达到这个目标,我想要做的是设置成登录时需要 SSH 密钥和密码。请注意,这必须是路由器上的密码,而不仅仅是密钥本身的密码。
是的,我完全清楚这实际上并没有提高安全性。但它并没有降低安全性,而且它符合标准,让我不必与那些拥有清单而不是理解的人争论。
如果 dropbear 无法做到这一点,那么 openssh 可以做到吗?如果需要,我可以安装它。
答案1
据我所知这是不可能的,解决方案是简单地安装 OpenSSH,禁用 dropbear,并在 sshd_config 中使用以下选项:
AuthenticationMethods "publickey,password"
PasswordAuthentication yes
PermitRootLogin yes
我还安排了一些事情,以便 Web 界面只能通过 SSH 隧道使用。