背景 :我将OTP令牌authentication添加到我的Web服务器。 我使用ForceCommand /token/script命令修改了/etc/ssh/sshd_config文件。
问题 :我有一个本地Jenkins实例连接到Web服务器进行部署; jenkins不能input令牌信息或回复电话(尽pipe谁知道,我打赌甚至有一个插件!)。
可能的解决scheme :使用~/user/authorized_keys命令参数强制除了jenkins使用的密钥之外的所有密钥上的令牌脚本。
问题 :authorized_keys方法的全局sshd_config方法的安全性如何? 你会认为这是一个可以接受的权衡? 有没有更好的解决scheme(允许jenkins做奴隶部署,同时让其他人locking令牌authentication?)。
我已经尝试了两种方法,都像魅力一样工作。 第二种方法我觉得在部署方面比较实用,但是却为我提供了一些内部的红旗。 我不知道我是不是在追着鬼(红旗)。 讨论!
使用sshd_config的Match命令将不同的规则应用于jenkins用户,而不是其他用户:
- 匹配 :引入一个条件块。 如果匹配行上的所有条件都满足,则以下行中的关键字将覆盖configuration文件全局部分中设置的关键字,直到另一个匹配行或文件末尾。
有关完整的文档,请参见sshd_config手册页。