SSH-Server: SSH-Schlüsselschutz mit Passwort steuern

Question

Kurze Antwort: Das können Sie nicht.

(Sie können auch nicht kontrollieren, dass der Benutzer sein Passwort nicht auf ein Blatt Papier neben seiner Tastatur schreibt)

Wilde Vermutung und lange Antwort:

Sie möchten möglicherweise eine kennwortlose SSH-Authentifizierung vom Relay-Host verwenden, wobei:

Benutzeranmeldung mit zentralem Account (wie Active Directory),
Der Benutzer hat keinen Root-Zugriff auf den Relay-Host.

Dazu müssen Sie entweder eine kommerzielle Lösung verwenden (und Geld ausgeben) oder Ihre eigene erstellen (und dabei ein unsicheres/ungetestetes Zugriffsprotokoll annehmen).

Zwei Schattierungen von Sicherheit

Bei der Zugriffskontrolle gibt es zwei Hauptziele:

mit einer bestimmten Norm konform sein (ein Sicherheitsaudit überstehen)
effektive Zutrittskontrolle (Eindringversuche verhindern und unterbinden)

Eine kommerzielle Lösung könnte die erste bereitstellen, die protokolliert, wann und wo sich der Benutzer verbindet, um welchen Benutzertyp es sich handelt, Statistiken über die Verbindungszeit usw. bereitstellt.

Sie könnten „Sachen“ selbst entwickeln (ich habe das für einen Kunden getan), Sie müssten aber Zeit und Geld in die Einrichtung Ihrer Lösung investieren.

Mit beiden vorherigen Lösungen könnten Sie ein Sicherheitsaudit bestehen/aushandeln.

Bedenken Sie, wenn Sie den Zugriff wirklich kontrollieren möchten, müssen Sie ein sachkundiges Sicherheitsteam einrichten, das im Schichtbetrieb arbeitet, den Zugriff überwacht und in der Lage ist, Alarme und Angriffe zu erkennen und darauf zu reagieren.

Answer 1

Kurze Antwort: Das können Sie nicht.

(Sie können auch nicht kontrollieren, dass der Benutzer sein Passwort nicht auf ein Blatt Papier neben seiner Tastatur schreibt)

Wilde Vermutung und lange Antwort:

Sie möchten möglicherweise eine kennwortlose SSH-Authentifizierung vom Relay-Host verwenden, wobei:

Benutzeranmeldung mit zentralem Account (wie Active Directory),
Der Benutzer hat keinen Root-Zugriff auf den Relay-Host.

Dazu müssen Sie entweder eine kommerzielle Lösung verwenden (und Geld ausgeben) oder Ihre eigene erstellen (und dabei ein unsicheres/ungetestetes Zugriffsprotokoll annehmen).

Zwei Schattierungen von Sicherheit

Bei der Zugriffskontrolle gibt es zwei Hauptziele:

mit einer bestimmten Norm konform sein (ein Sicherheitsaudit überstehen)
effektive Zutrittskontrolle (Eindringversuche verhindern und unterbinden)

Eine kommerzielle Lösung könnte die erste bereitstellen, die protokolliert, wann und wo sich der Benutzer verbindet, um welchen Benutzertyp es sich handelt, Statistiken über die Verbindungszeit usw. bereitstellt.

Sie könnten „Sachen“ selbst entwickeln (ich habe das für einen Kunden getan), Sie müssten aber Zeit und Geld in die Einrichtung Ihrer Lösung investieren.

Mit beiden vorherigen Lösungen könnten Sie ein Sicherheitsaudit bestehen/aushandeln.

Bedenken Sie, wenn Sie den Zugriff wirklich kontrollieren möchten, müssen Sie ein sachkundiges Sicherheitsteam einrichten, das im Schichtbetrieb arbeitet, den Zugriff überwacht und in der Lage ist, Alarme und Angriffe zu erkennen und darauf zu reagieren.

SSH-Server: SSH-Schlüsselschutz mit Passwort steuern

Antwort1

Kurze Antwort: Das können Sie nicht.

Wilde Vermutung und lange Antwort:

Zwei Schattierungen von Sicherheit

verwandte Informationen