Segunda contraseña para acceso solo SSH

Navega tus respuestas
1

TL; DR : quiero tener una contraseña simple para desbloquear mi computadora con acceso físico y una contraseña compleja para conectarme a través de ssh. Esto, utilizando la misma cuenta.

Estoy buscando una solución para administrar el acceso a mi computadora. Para alguien que tenga acceso físico a mi computadora (como yo y un par de mis amigos que la usarán de vez en cuando), me gustaría tener una contraseña simple y corta que mantenga fuera a los extraños. Sin embargo, me gustaría tener otra contraseña compleja para el servidor SSH, ya que el servidor SSH estará disponible desde la Internet pública de vez en cuando y tener una contraseña simple supondría un gran riesgo para la seguridad.

He investigado la autenticación sin contraseña mediante las teclas ssh, pero no es lo que estoy buscando, porque quiero poder ingresar a mi computadora desde cualquier dispositivo. (Y, según tengo entendido, mi computadora debería tener una lista de claves ssh de confianza).

Lo ideal sería tener una contraseña simple para desbloquear mi computadora con acceso físico y una contraseña compleja para conectarse a través de ssh.

    
pregunta Martijn Courteaux 12.12.2015 - 14:24

2 respuestas

2

Creo que la solución real es crear una cuenta que no sea de administrador a la que se pueda acceder a través de ssh (probablemente la cuenta que desea usar a través del acceso físico tendrá privilegios de sudo). La cuenta ssh no debería tener nada ni poder hacer nada más que permitir que un usuario inicie sesión. Luego, puede%% de ese usuario a la cuenta real que desea usar, lo que le dará una capa de seguridad adicional. mejor registro sobre quién está accediendo al sistema (o intentando)

    
respondido por el agentroadkill 12.12.2015 - 15:33
1

No es exactamente lo que describe, pero debería resolver sus problemas. La herramienta se llama "autorización de paquete único" y una implementación muy buena con descripción es fwknop .

Si tiene una computadora con IP accesible desde Internet, es muy común ver varios intentos de autenticación en SSH y es realmente útil proteger el servicio de alguna manera. La ocultación es un buen enfoque. Básicamente, Fwknop te permitirá desbloquear el puerto ssh para una dirección específica desde tu teléfono móvil (por ejemplo) y luego podrás conectarte con tu contraseña relativamente simple sin exponerla al mundo.

Si es demasiado complicado, siempre puedes configurar dos usuarios:

  • local:
    • con contraseña simple
    • denegado el inicio de sesión de forma remota
  • remoto:
    • contraseña compleja
    • permitió el inicio de sesión remoto usando la opción AllowUsers en sshd_config

y configure la transición sudo del remoto al local (ya sea de forma automática o manual) para ingresar al mismo "contexto" que con sus inicios de sesión locales.

    
respondido por el Jakuje 12.12.2015 - 15:24

Lea otras preguntas en las etiquetas

Problema de pantalla completa Cómo rastrear las notificaciones de Facebook en OS X para deshabilitarlas