セキュリティの質問で SSH ログインしますか?

Question

事前に考えておくべきこと: 従来のパスワードベースの認証に固執しないのはなぜか、あるいはもっと良いのは公開鍵認証他の人と同じように? 解決策は、基本的に、推測しやすい 2 番目のパスワードをプレーンテキストで保存することです。カスタム認証スキームによってセキュリティが向上することはめったになく、セキュリティが低下することさえあります。

PAM が気に入らない場合は、に特定のログインスクリプトを使用するように SSH を設定できますroot。次のようなものになります。

#!/bin/sh
set -eu

while read -rp 'What is your birthday?!' REPLY
do
    case "$REPLY" in
        '')
            # empty input; ask again
            ;;

        '10.10.10')
            # Run original command if available or simply the user's log-in shell
            exec ${SSH_ORIGINAL_COMMAND-$SHELL -l};;

        *)
            break;;
    esac
done

echo "You're not welcome here. Go away!" >&2
exit 1

スクリプトをとして保存し、/root/login-with-birthday.sh実行可能にして、ファイルには秘密情報 ( ) が含まれているため、一般ユーザーがファイルを読み取れないことを確認します。次に、にルールを追加して、これをログインコマンドとして使用するようにchmod 0700指示します。sshd/etc/ssh/sshd_config

Match user root
    ForceCommand /root/login-with-birthday.sh

Answer 1

事前に考えておくべきこと: 従来のパスワードベースの認証に固執しないのはなぜか、あるいはもっと良いのは公開鍵認証他の人と同じように? 解決策は、基本的に、推測しやすい 2 番目のパスワードをプレーンテキストで保存することです。カスタム認証スキームによってセキュリティが向上することはめったになく、セキュリティが低下することさえあります。

PAM が気に入らない場合は、に特定のログインスクリプトを使用するように SSH を設定できますroot。次のようなものになります。

#!/bin/sh
set -eu

while read -rp 'What is your birthday?!' REPLY
do
    case "$REPLY" in
        '')
            # empty input; ask again
            ;;

        '10.10.10')
            # Run original command if available or simply the user's log-in shell
            exec ${SSH_ORIGINAL_COMMAND-$SHELL -l};;

        *)
            break;;
    esac
done

echo "You're not welcome here. Go away!" >&2
exit 1

スクリプトをとして保存し、/root/login-with-birthday.sh実行可能にして、ファイルには秘密情報 ( ) が含まれているため、一般ユーザーがファイルを読み取れないことを確認します。次に、にルールを追加して、これをログインコマンドとして使用するようにchmod 0700指示します。sshd/etc/ssh/sshd_config

Match user root
    ForceCommand /root/login-with-birthday.sh

セキュリティの質問で SSH ログインしますか?

答え1

関連情報