我正在尝试确定在以下情况下OTP(Wikid)或Ssh Keys是否实际上更安全:
选项1 – Wikid OTP: 3服务器@ Slicehost ; 共享专用networking,通过该专用networking通过半径authentication 主机防火墙相应,只有我的服务器可以与radius服务器通话。 假设Xen主机(slicehost)没有受到威胁,并且他们的私有networking是可信的,那么其他客户端应该能够篡改我的radiusstream量,从而提供合理的(按照成本)安全和灵活的设置
选项2 – 好的ol ssh密钥: 3个服务器@ slicehost; 服务器之间没有共享的专用networking。 我创build一个受强密码保护的ssh密钥。 简单而有效,提供我的笔记本电脑不会受到影响。
相关解决scheme的优点/缺点是什么?
选项2可能是您的3服务器设置更好的select。 如果你有10或100个服务器,那么在这个时候设置Radiusauthentication可能是值得的。 SSH简单,安全和有效。 我会花一些时间,并收紧默认的SSH设置。 我喜欢改变一些值:
Port 9822 # something other than 22 PermitRootLogin no # or without-password if you must login as root PasswordAuthentication no # only allow SSH key logins 如果您知道将要login的用户名:
AllowUsers usernames
SSH有很多选项。 你可以运行man 5 sshd_config来查看它们。
半径设置复杂,耗时维护。 它也一般有失败点。 如果你只有三台服务器,为了简单和可靠,使用好的ol ssh密钥。 在devise安全系统时,能够完全理解实现是非常重要的。 与Radius不同的是,大多数pipe理员都非常了解SSH。
为了给Radius带来一些好处,比在更大的用户和pipe理员的更大的环境中的ssh密钥更好,你需要中央维护的authentication和授权。 你会在这里看到很多post,比如“我的pipe理员正在离开,我怎么让他或她离开我的系统?”; Radius是解决这个问题的一个解决scheme。
这就是说,对于你提到的简单情况,SSH密钥听起来像是一个很好的解决scheme。 禁用其他SSH身份validation方法,不要将私钥的副本存储在远程服务器上,可能是托pipe或以其他方式确保您有私钥的备份,以防您引用的笔记本电脑出现故障。