目前,许多非技术用户使用 Windows 上的 FileZilla 管理安全数据。因此,SFTP 凭证在组织内广泛共享。
我想集中管理凭证,以便用户无法直接查看它们。使用 FileZilla,凭证存储在非加密文件 Settings.xml 中。
是否有一种方法可以使用任何用户友好的 Windows SFTP 客户端来集中管理 SFTP 凭据并阻止用户直接访问凭据?
答案1
不要使用密码。使用 SSH 密钥。
使用 SSH 密钥,每个用户都有自己的私钥,不与任何人共享。在您要授予该用户访问权限的每个服务器+帐户上,您都可以将密钥签名添加到文件authorized_keys。如果您想撤销访问权限,可以从文件中删除该用户。您还可以指定每个用户(即每个密钥)可以执行的操作的限制,因此如果您使用给定的密钥登录,则会应用某些限制。
答案2
使用两步验证google-authenticator。它可以与 PAM 一起使用,因此连接时必须输入密码和手机生成的令牌。