Ich habe einen FreeBSD-Server, den ich gerne von überall aus erreichen kann. Normalerweise verwende ich den öffentlichen SSH-Schlüssel, um mich anzumelden, oder wenn mein privater SSH-Schlüssel nicht verfügbar ist, verwende ich möglicherweise ein reguläres Kennwort über SSH. Wenn Sie sich jedoch von einem nicht vertrauenswürdigen Computer aus anmelden, besteht immer das Risiko, dass ein Keylogger mein Anmeldekennwort während der Eingabe erfasst.
FreeBSD unterstützt bereits OPIE , ein Einmalkennwortschema. Dies funktioniert hervorragend, aber das Einmalkennwort ist die einzige erforderliche Authentifizierung. Wenn ich eine Liste mit Einmalkennwörtern ausdrucke, die später verwendet werden sollen, und wenn ich diese Liste verliere, ist das alles, was jemand braucht.
Ich möchte die Authentifizierung so einrichten, dass ich ein Einmalkennwort sowie etwas, das ich kenne , benötige (ein Kennwort, außer nicht mein übliches Anmeldekennwort). Ich habe das Gefühl, dass die Antwort etwas mit PAM (und /etc/pam.d/sshd
) zu tun hat , bin mir aber bei den Details nicht sicher.
Wie kann ich die Authentifizierung einrichten, wenn zwei Methoden erforderlich sind?
Antworten:
Google Authenticator vielleicht? In meiner OpenSolaris-Box werde ich zuerst nach dem normalen Anmeldekennwort und dann nach dem TOTP-Bestätigungscode gefragt. So etwas wie das: http://www.marzocchi.net/Olafsen/Software/Two-FactorAuthentication
quelle
Dazu müssen Sie das normale 'ssh_auth'-Modul mit dem' pam_opie'-Modul unter Verwendung des 'Flag'-Steuerflags stapeln.
quelle