web-dev-qa-db-ja.com

SSH接続にOTPを追加することにはセキュリティ上の利点がありますか?

TOTPを有効にすることで得られる具体的な改善点はありますか(google-authenticator PAMプラグイン)既存の公開鍵ベースのSSH接続を介して?

要塞サーバーへのSSHに対してTOTPベースの2要素認証を有効にすることはセキュリティ上意味がありますか? OTPがWebアプリケーションに提供する利点はありますが、SSHについてはどうですか?学ぶことができるOTPを使用するインフラストラクチャセキュリティの既存の例はありますか?

sshmulti-factortotp
2
eternaltyro

WebアプリケーションのOTPにはどのような利点がありますか? SSHにも同じ利点がありますか?問題は、SSHキーを使用するときにどのような脅威があるかということです。

中心的な脅威の1つは、あなたが制御できないか、ユーザーが秘密のSSHキーを紛失したかどうかを確認できないことです。ユーザーがパスフレーズを使用して自分の秘密SSHキーを保護している場合、最初の段階では、知ることも保証することもできません。 (SSH秘密鍵にスマートカードを使用している場合を除きます)。

だから私の意見では、はい、与えられたSSH接続にOTPを追加することでセキュリティを向上させることができます:

  1. 管理者はOTPデバイスの作成を制御し、
  2. ハードウェアOTPトークンを使用している

この場合

  1. ユーザーは自分の秘密SSHキー(管理者、会社、または組織によって制御できない)を保護することでセキュリティを維持できます。
  2. 管理者は、OTPトークンの安全な第2要素を制御することにより、セキュリティを維持できます。

私はOTPの2番目の要素を管理するために privacyIDEAを利用したこれに関するブログエントリ を書きました。

1
cornelinux