Ich habe PKCS#11die Remote-SSH-Verbindung auf meinem Ubuntu-Server so konfiguriert, dass sich Benutzer mit einem Hardware-Token anmelden können, wie beschriebenHier. In diesem Fall kann sich der Benutzer jedoch beim Server anmelden, das Token entfernen und es jemand anderem zum Anmelden geben. Ich möchte den Benutzer so einschränken, dass er nach dem Entfernen des Tokens die Verbindung zu meinem Server nicht mehr aufrechterhalten kann (oder nach kurzer Zeit). Ich möchte beispielsweise eine kontinuierliche Abhängigkeit vom Token konfigurieren. Ist es notwendig, einen speziellen SSH-Client zu entwickeln? Derzeit verwende ichKitt-CACals Auftraggeber.
Antwort1
Nein, das ist ohne Client-Änderungen nicht möglich – die Benutzerauthentifizierung bei SSH wird nur einmal für die gesamte Verbindung durchgeführt und ist zudem von vornherein vom Client initiiert.
SSHv2 unterstütztNeuverschlüsselung, das sogar vom Server initiiert werden kann, aber nur eine Abhängigkeit vom „Host“-Schlüsselpaar des Servers und nicht vom Schlüsselpaar des Benutzers erzeugt.
Der Mechanismus „gssapi-keyex“ könnte jedoch eine Ausnahme darstellen, da er die Kerberos-Benutzerauthentifizierung in die Schlüsselaustauschmethode integriert und daher davon abhängt, dass der Benutzer über nicht abgelaufene Kerberos-Tickets verfügt. Wenn Sie jedoch PKCS#11 verwenden, verwenden Sie kein Kerberos.
(Ich könnte mir auch einen Hack vorstellen, bei dem Sie Ihren PKCS#11-Token in Pageant-CAC (PuTTYs SSH-Schlüsselagent) laden und dann die SSH-"Agentenweiterleitung" aktivieren, damit der Server regelmäßig Signaturen vom weitergeleiteten Agenten anfordern kann... aber das hat natürlich diefestNachteil dabei ist, dass das PKCS#11-Token durch böswillige Server über dieselbe „Agent-Weiterleitungsfunktion“ missbraucht werden kann.)
Behandeln Sie es vielleicht als ein Problem der Unternehmensrichtlinie und legen Sie Konsequenzen für die gemeinsame Nutzung von Konten fest.