二要素認証-キーとローカルアカウントパスワードを使用したSSH
ユーザーのローカルアカウントの資格情報を要求する前に、最初に有効なキーファイルを要求するようにLinuxボックスをセットアップすることは可能であり、実行可能ですか?私たちの設定では、マシン上でsshをインターネットに開く必要がありますが、sshを実行する必要があるのは2人だけです。この悪い子をできるだけきつく締めたい。すでに通常のファイアウォール、拒否ホストなどを実装していますが、可能であれば、それも導入したいと思います。すべての返信は大歓迎です!
SSHキーにすでにパスフレーズが含まれている場合(必要です)、すでに2要素認証を実行しています。IMOでは、ローカルアカウントのパスワードをそのプロセスに追加しても、煩わしいユーザー以外にはあまり効果がありません。
これらの2人のユーザーのみにSSH経由でのログインを許可することを目的としている場合は、sshd_configでAllowGroupsまたはAllowUsers、あるいはその両方の構成機能を使用できます。
sshd_configのマニュアルページ をチェックして、使用可能なオプションを確認してください。 HostBasedAuthenticationは有望に見えます。
必要なものが見つからない場合(そして可能であっても)、パスワードを要求するように構成できる多くの機能にSudoの使用を要求することで、マシンで実行できることをロックダウンできます。すべてをログに記録します。これで完了です。使用するLinuxサーバーでは、少なくともデフォルトとしてIMHOを設定する必要があります。
もちろん、Sudoとsudoersのマニュアルページを参照してください。また、 Linuxサーバーのセキュリティ保護に関する私のお気に入りのページ に関する素敵なディスカッションも参照してください。
私が見つけたところによると、商用SSH2サーバー、現在TectiaSSHサーバーはRequiredAuthenticationsconfigオプションをサポートしており、必要なことを実行できます。