Puncte:1

Implementarea configurației 2FA la următoarea autentificare SSH pentru fiecare utilizator

drapel cn
phk

Am găsit numeroase tutoriale despre cum să activați 2FA (TOTP, RFC 6238), dar există și o modalitate de a forța utilizatorii SSH să-l configureze la prima conectare? (Folosesc serverul OpenSSH)

Cred că aș putea crea un script care rulează de fiecare dată și verifică dacă a .google_authenticator pentru utilizatorul anume există și dacă nu, atunci rulează google-authenticator până când o face și apoi editează /etc/pam.d/sshd (uh-oh), și altfel rulează shell-ul/comanda implicită... dar poate că există multe cazuri neprevăzute și posibilități de a întrerupe autentificarea SSH.

Deci, înainte să reinventez roata și să o fac la întâmplare, există deja o soluție existentă?

Aș fi presupus că da, deoarece este norma pentru software-ul orientat către utilizator, de ex. Îți vin în minte Gitlab și Gsuite, unde poți forța utilizatorii să configureze 2FA la următoarea conectare.

Puncte:1
drapel in

Nu sunt sigur dacă cineva a scris deja un scenariu pentru scopuri generale, deoarece aceste lucruri sunt uneori specifice cerințelor.

Ceea ce pot sugera este să folosiți fișierele env (.bashrc,.bash_profile etc) pentru a vă modifica fișierul ssh/2FA etc.

Anatomia scenariului va fi ca mai jos:

dacă <verificați configurarea fișierului 2fa există>
    # executați acest lucru dacă este găsit
    # sau continua
altfel
    # configurați 2FA și ieșiți pentru următoarea conectare.
drapel cm
Nu ar putea cineva să suprascrie scenariul sau să iasă din el?
asktyagi avatar
drapel in
Nimeni nu poate face dacă s-a gestionat corect, doar pentru indiciu capcană semnalul de ieșire în script, astfel încât nimeni să nu se poată sparge. De asemenea, lucrul de mai sus nu se poate gestiona cu scara folosind instrumentul IaaS.
phk avatar
drapel cn
phk
Hm⦠ai putea face `ssh [target] bash --noprofile --norc` (sau similar) cu excepția cazului în care se folosește `ForceCommand` sau `command=` în `authorized_keys`. Dar apoi, configurarea în sine nu este menită ca o caracteristică de securitate. De asemenea, în acest fel, nu ar rupe `scp` sau `sshfs`. Dar, pe de altă parte, aș dori să protejez acele conturi `ssh` folosite pentru lucruri non-interactive... cu cât mă gândesc mai mult la asta, cu atât mai greu apare această problemă. Oricum iti multumesc.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.