OTPとSSHキー
次のシナリオで、OTP(Wikid)またはSshキーのどちらが実際的により安全であるかを判断しようとしています。
オプション1-Wikid OTP: 3サーバー@Slicehost; RADIUS認証トラフィックが通過する共有プライベートネットワーク。ホストはそれに応じてファイアウォールで保護されているため、私のサーバーだけがRADIUSサーバーと通信できます。 Xenホスト(slicehost)が危険にさらされておらず、プライベートネットワークが信頼できると仮定すると、他のゲストが私の半径トラフィックを改ざんして、合理的に(コストに応じて)安全で柔軟なセットアップを提供することはできません。
オプション2-良い 'ol Sshキー: 3サーバー@slicehost;サーバー間に共有プライベートネットワークはありません。強力なパスワードで保護されたsshキーを作成します。シンプルで効果的で、私のラップトップが妥協しないことを提供します。
関連するソリューションの長所/短所は何ですか?
オプション2は、3サーバーのセットアップでおそらくより良い選択です。サーバーが数十または数百ある場合は、その時点でRadius認証を設定する価値があります。 SSHはシンプルで安全、そして効果的です。少し時間をかけて、デフォルトのSSH設定も厳しくします。私が変更したいいくつかの値:
Port 9822 # something other than 22
PermitRootLogin no # or without-password if you must login as root
PasswordAuthentication no # only allow SSH key logins
また、ログインするユーザー名がわかっている場合:
AllowUsers usernames
SSHにはたくさんのオプションがあります。 man 5 sshd_configを実行して、それらすべてを表示できます。
Radiusの利点のいくつかを与えるには、一元的に維持される認証と承認が必要な、より多くのユーザーと管理者がいる大規模な環境でsshキーよりも優れています。 「私の管理者が去っています。どうすれば彼または彼女を私のシステムから遠ざけることができますか?」のようなかなりの数の投稿がここに表示されます。 Radiusは、その質問への回答を容易にする1つのソリューションです。
とはいえ、提示した単純なケースでは、SSHキーは優れたソリューションのように聞こえます。他のSSH認証方法を無効にし、秘密鍵のコピーをリモートサーバーに保存しないでください。エスクローするか、参照するラップトップに障害が発生した場合に備えて秘密鍵のバックアップがあることを確認してください。