我注意到aws有多工厂authentication: http : //aws.amazon.com/mfa/faqs/#How_does_AWS_MFA_work
这似乎只是当你通过networkinglogin到Web控制台等
一般来说,这种types的身份validation是否也适用于SSH进入服务器的情况? 作为一个附加的安全层?
据我所知,亚马逊并没有提供任何方法来使用MFA令牌进行SSHauthentication,但有许多免费的或便宜的第三方解决scheme,您可以使用它们来向您的服务器添加多因素authentication。 Google提供了一个工具,让您使用他们的身份validation软件作为PAM模块。 或者,有一个名为Yubikey的廉价MFA设备,它也可以用来添加MFA到你的sshlogin过程中。
虽然这些选项总体上是好的,但您应该考虑通过采用这些选项来弥补您所做的交易。 与安全方面的任何事情一样,您正在交易安全性的灵活性和易用性。 使用公共密钥身份validation,对于大多数用途而言,您已经足够安全,您不必担心丢失物理设备,并且可以轻松使用通过SSH工作的自动化工具(例如Capistrano或Fabric)。 使用MFA设备,您不必担心有人窃听机器访问您的私钥,但您始终需要物理设备和使用自动化工具变得更加复杂,如果不是不可能的话。
确保为SSHauthentication采用MFA设置的好处certificate了您的情况下的成本,而不是为了添加另一层“安全性”而设置它。