О сложности паролей

http://xkcd.com/936/

Как ограничить ssh пользователя, входящего в систему по сертификатам лишь заданным диапазоном IP?

Итак, у нас есть Linux пользователь, который входит в систему по ssh с использованием ключей - парольная аутентификация запрещена. Задача - как ограничить пользователю возможный диапазон IP, с которых он входит в систему.

Вариант 1.

Задать диапазон хостов, с которых может входить юзер можно посредством директивы AlloUsers в /etc/ssh/sshd_config.

Вот цитата из официальной документации (man sshd_config):

AllowUsers This keyword can be followed by a list of user name patterns, separated by spaces. If specified, login is allowed only for user names that match one of the patterns. ‘*’ and ‘?’ can be used as wildcards in the patterns. Only user names are valid; a numerical user ID is not recognized. By default, login is allowed for all users. If the pattern takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular users from particular hosts.

Но, очевидно, каждый раз дергать конфиги такого важного демона как ssh для изменения IP крайне неправильно.

Вариант 2.

Использовать поле options в файле authorized_keys: from "ip_addr".

Выглядеть это будет так:

from "ip_addr" ssh-rsa AAAABтут_много_букв_которые_представляю_собой_ключ_в_base64== test@yandex.ru

Подробное описание из документации (man 8 sshd):

from="pattern-list"

Specifies that in addition to public key authentication, the canonical name of the remote host must be present in the comma-separated list of patterns (‘*’ and ‘?’ serve as wildcards). The list may also contain patterns negated by prefixing them with ‘!’; if the canonical host name matches a negated pattern, the key is not accepted. The purpose of this option is to optionally increase security: public key authentication by itself does not trust the network or name servers or anything (but the key); however, if somebody somehow steals the key, the key permits an intruder to log in from anywhere in the world. This additional option makes using a stolen key more difficult (name servers and/or routers would have to be compromised in addition to just the key).

Использование KeyChain для работы с ssh

http://www.cyberciti.biz/faq/ssh-passwordless-login-with-keychain-for-scripts/

Вход в SSH по Public Keys из LDAP

http://blog.fupps.com/2006/03/02/ssh-public-keys-from-ldap/

Как работает cPanel jailshell?

http://www.learncpanel.com/server-administration/jailshell-virtfs/

Двухфакторная аутентификация посредством sms

http://en.wikipedia.org/wiki/Two_factor_authentication#SMS_One_Time_Password

Что такое двухфакторная аутентификация в двух словах?

Двухфакторная аутентификация

Аутентификация с использованием двух различных аутентифицирующих факторов.

Существуют три обобщенных аутентифицирующих фактора:
То, что Вы знаете, например пароль или PIN.
То, что Вы имеете, например, кредитная карта, аппаратный ключ или ключевой файл на флешке.
То, что Вы есть, например, отпечаток пальца, скан радужки или иная биометрия.

Распространенные реализации двухфакторной аутентификации используют "то, что Вы знаете" (пароль) как один из факторов, и либо "то, что вы имеете" (физическое устройство), либо "то, что Вы есть" (биометрия) в качестве второго фактора. Примером ДФА может служить банковская карта.

Использование двух факторов вместо одного обеспечивает более высокий уровень надежности аутентификации.

Взято без изменения с ресурса: http://www.pgpru.com/biblioteka/slovarj/dvuhfaktornajaautentifikacija

Использование одноразовых паролей для доступа к сайту mod_authn_otp

http://code.google.com/p/mod-authn-otp/

Логин на ssh по одноразовым паролям - ssh + WiKID

Вот такая вот очень умная штука: http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-secure-ssh-with-two-factor-authentication-from-wikid

Всем, кому нужно делегировать доступ к серверам посвящается :)