Điểm:1

Thực thi cấu hình 2FA trong lần đăng nhập SSH tiếp theo cho mọi người dùng

lá cờ cn
phk

Tôi đã tìm thấy nhiều hướng dẫn về cách bật 2FA (TOTP, RFC 6238) nhưng có cách nào để buộc người dùng SSH định cấu hình nó trong lần đăng nhập đầu tiên không? (Tôi đang sử dụng máy chủ OpenSSH)

Tôi đoán tôi có thể tạo một tập lệnh chạy mọi lúc và kiểm tra xem một .google_authenticator đối với người dùng cụ thể tồn tại và nếu không thì chạy trình xác thực google cho đến khi nó làm và sau đó chỉnh sửa /etc/pam.d/sshd (uh-oh) và nếu không thì chạy trình bao/lệnh mặc định... nhưng có lẽ có nhiều trường hợp cạnh không lường trước được và khả năng phá vỡ đăng nhập SSH.

Vì vậy, trước khi tôi có thể phát minh lại bánh xe và làm điều đó một cách tùy tiện, liệu đã có giải pháp hiện tại chưa?

Tôi đã cho rằng điều đó xảy ra vì đó là tiêu chuẩn cho phần mềm hướng tới người dùng, ví dụ: Hãy nghĩ đến Gitlab và Gsuite, nơi bạn có thể buộc người dùng định cấu hình 2FA trong lần đăng nhập tiếp theo.

Điểm:1
lá cờ in

Tôi không chắc liệu ai đó đã viết kịch bản cho mục đích chung hay chưa vì những điều này đôi khi cụ thể theo yêu cầu.

Những gì tôi có thể đề xuất là sử dụng các tệp env (.bashrc, .bash_profile, v.v.) để thay đổi tệp ssh/2FA của bạn, v.v.

Giải phẫu của kịch bản sẽ như dưới đây:

nếu <kiểm tra thiết lập tệp 2fa tồn tại>
    # thực hiện điều này nếu tìm thấy
    # hoặc tiếp tục
khác
    # thiết lập 2FA và thoát cho lần đăng nhập tiếp theo.
lá cờ cm
Liệu người ta có thể ghi đè lên tập lệnh hoặc thoát khỏi nó không?
asktyagi avatar
lá cờ in
Không ai có thể làm được nếu nó được xử lý đúng cách, chỉ để gợi ý bẫy tín hiệu thoát trong tập lệnh để không ai có thể phá vỡ. Ngoài ra, điều trên không thể xử lý với quy mô bằng cách sử dụng công cụ IaaS được khuyến nghị.
phk avatar
lá cờ cn
phk
Hm⦠bạn có thể thực hiện `ssh [target] bash --noprofile --norc` (hoặc tương tự) trừ khi `ForceCommand` hoặc `command=` bên trong `authorized_keys` được sử dụng. Nhưng sau đó, bản thân thiết lập không có nghĩa là một tính năng bảo mật. Cũng theo cách này, nó sẽ không phá vỡ `scp` hoặc `sshfs`. Nhưng mặt khác, tôi cũng muốn bảo vệ những tài khoản `ssh` được sử dụng cho nội dung không tương tác đó... càng nghĩ về nó, vấn đề này càng xuất hiện nhiều hơn. Dẫu sao cũng cám ơn bạn.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.