我注意到 aws 具有多工厂身份验证:http://aws.amazon.com/mfa/faqs/#How_does_AWS_MFA_work
这似乎仅适用于您通过网络登录网络控制台等时。
总体来说,这种类型的身份验证是否也适用于通过 SSH 访问服务器?作为额外的安全层?
答案1
据我所知,亚马逊不提供任何使用 MFA 令牌进行 SSH 身份验证的方法,但有许多免费/廉价的第三方解决方案可用于为您的服务器添加多因素身份验证。Google 提供了一个工具,让您使用他们的验证器软件作为 PAM 模块。或者,有一种廉价的 MFA 设备,称为尤比克它也可以用于将 MFA 添加到您的 ssh 登录过程中。
虽然这些选项通常都不错,但您应该考虑采用它们时需要做出的权衡。与安全中的任何事物一样,您需要牺牲灵活性和易用性来换取安全性。使用公钥身份验证,在大多数情况下,您的安全性都足够高,您无需担心丢失物理设备,并且可以轻松使用通过 SSH 工作的自动化工具(例如 Capistrano 或 Fabric)。使用 MFA 设备,您无需担心有人入侵机器以获取您的私钥,但您始终需要该物理设备,而使用自动化工具会变得更加复杂,甚至不可能。
确保采用 MFA 设置进行 SSH 身份验证的好处能够证明您所处情况的成本是合理的,而不要仅仅为了增加另一层“安全性”而进行设置。