SSH 的双因素身份验证

SSH 的双因素身份验证

我正在寻找支持双因素身份验证系统;

  • 公钥
  • SFTP 登录

现在我知道的选择是

Authy:允许您将其与公钥身份验证一起使用,但由于某种原因,它无法进行 SFTP 登录。它声称支持 SCP 等,但尝试使用 Filezilla 进行 SFTP 连接失败。

Google 2 因素:不允许公钥认证,可能有一些针对 SFTP 的绕过方法。

Duosecurity:还没有尝试过。

我在 Debian 系统上

答案1

我一直在使用 Google Authenticator。在 Linux 命令行上使用双因素或公钥的 SFTP 没有任何问题。我发现 Windows 中的 GUI 客户端出现了一些奇怪的行为。我分别提示输入 OTP 和密码,这需要在 sshd 中启用质询响应。您还需要注意 RHEL 风格的 Linux 上的 SELinux,因为 sshd 无法访问配置文件的默认位置。您可以修改策略或将文件移动到每个用户的 .ssh。如果您想要一个更集中的解决方案,您可以考虑 RADIUS。这样做的好处是您的客户端需要处理的 OTP 更少。您可以将一个密钥复制到任何地方,但这开始违背了没有中央机构来跟踪密钥使用情况的 OTP 的理念。

答案2

所以您想进行 OTP 身份验证和 SSH 公钥身份验证?

您的要点有点误导,因为 ssh pub key 是一种身份验证机制,而 sftp 是一种应用程序(或协议)。

你也可以看看隐私理念,它是 OTP 令牌(如 google 身份验证器、yubikey 和许多其他 OTP 设备)的 OTP 身份验证后端。我还开始实施“SSH 令牌”,以支持 ssh 公钥,但目前仍在开发中(请参阅github)您有什么意见吗?

您将通过 RADIUS 协议连接您的 SFTP,然后可以同时使用许多不同的令牌类型。

相关内容