我正在尝试确定在以下情况下 OTP (Wikid) 或 Ssh 密钥是否实际上更安全:
选项 1-Wikid OTP:3 台服务器 @ Slicehost;radius 身份验证流量通过的共享专用网络。主机相应地设置了防火墙,以便只有我的服务器可以与 radius 服务器通信。假设 Xen 主机 (slicehost) 未受到攻击,并且其专用网络值得信赖,则其他客户应该无法篡改我的 radius 流量,从而提供合理(按成本计算)的安全和灵活的设置
选项 2 - 好的 Ssh 密钥:3 台服务器 @slicehost;服务器之间没有共享的专用网络。我创建了受强密码保护的 ssh 密钥。简单有效,只要我的笔记本电脑不被盗用即可。
相关解决方案的优点/缺点是什么?
答案1
对于 3 台服务器的设置,选项 2 可能是更好的选择。如果您有 10 台或 100 台服务器,那么此时设置 Radius 身份验证可能值得您花时间。SSH 简单、安全且有效。我也会花一些时间收紧默认的 SSH 设置。我喜欢更改一些值:
Port 9822 # something other than 22
PermitRootLogin no # or without-password if you must login as root
PasswordAuthentication no # only allow SSH key logins
如果您知道将要登录的用户名:
AllowUsers usernames
SSH 有大量选项。您可以运行man 5 sshd_config来查看所有选项。
答案2
Radius 设置复杂,维护耗时。它通常也存在故障点。如果您只有三台服务器,请使用好的 ssh 密钥以实现简单性和可靠性。在设计安全系统时,完全理解实现非常重要。与 Radius 不同,大多数管理员都很好地理解了 SSH。
答案3
举几个 Radius 的优点,在拥有更多用户和管理员的大型环境中,如果您需要集中维护身份验证和授权,它比 ssh 密钥更好。您会看到这里有很多帖子,例如“我的管理员要离开了,我该如何让他或她远离我的系统?”;Radius 是一种解决方案,它使回答这个问题变得更容易。
话虽如此,对于您提出的简单情况,SSH 密钥听起来是个不错的解决方案。禁用其他 SSH 身份验证方法,不要在远程服务器上存储私钥的副本,也许可以托管或以其他方式确保您有私钥的备份,以防您提到的笔记本电脑出现故障。