在提示用户的本地帐户凭据之前,设置一个linux盒子来首先需要一个有效的密钥文件是否可行也是可行的? 我们的设置是我们必须在一台机器上打开ssh到互联网,但只有2个人需要ssh进入它。 我们想把这个坏男孩锁得尽可能紧。 我们已经实现了通常的防火墙,拒绝主机等,但是如果可能的话,我也想把它扔掉。 所有的答复表示赞赏!
如果你的SSH密钥已经有一个密码(他们应该),那么你已经做了两个因素,国际海事组织,join本地帐户的密码,除了恼火的用户之外不会给你很多。
如果您的意图是只允许这两个用户通过SSHlogin,则可以使用sshd_config中的AllowGroups和/或AllowUsersconfigurationfunction。
检查sshd_config的手册页以查看可用的选项。 HostBasedAuthentication看起来很有希望。
如果你找不到你需要的东西(甚至可以),你可以locking在机器上可以做什么,通过要求使用sudo来完成许多function – 可以configuration成需要密码,logging所有东西完成,恕我直言,至less应该设置为您使用的任何Linux服务器上的默认值。
当然,请参阅sudo和sudoers的手册页,但是在我最喜爱的关于保护linux服务器的页面上也有一个很好的讨论
从我发现的是,商业SSH2服务器,现在Tectia SSH服务器支持RequiredAuthenticationsconfiguration选项,只是你想要的。