2단계 인증을 사용하여 SSH 서버(Ubuntu)에 로그인할 때 보안 수준을 추가하고 싶습니다. 사용자가 SSH 서버에 연결하는 방법의 한 가지 특징은 때때로 비대화형 방식으로 연결한다는 것입니다. SSH 서버는 사용자의 MySQL 클라이언트에서 데이터베이스에 연결하기 위한 요새/프록시로 사용되도록 구성됩니다. 결과적으로 저는 사용자가 터미널에 아무 것도 입력할 필요가 없는 2FA 설정을 찾고 있습니다.
이론적으로 유망해 보이는 기존 솔루션 중 하나는 사용자가 연결을 확인할 수 있도록 하는 Google의 전화 메시지입니다. 모든 SSH 사용자는 전화번호와 연결되며 이 전화번호는 각 연결에 대해 확인하라는 메시지를 받게 됩니다.
이 아이디어의 명백한 단점은 전화 앱 개발이 필요한 것처럼 들리기 때문에 너무 복잡하고 비용이 많이 든다는 것입니다. 사용자가 비대화형 SSH 로그인을 검증할 수 있도록 하는 데 사용할 수 있는 다른 기술이 있습니까?
답변1
SSH-CA를 사용하여 몇 시간 동안만 유효한 임시 단기 OpenSSH 사용자 인증서를 발급할 수 있습니다. 사용자는 원하는 MFA 솔루션으로 인증하여 인증서를 요청해야 합니다. SSH 인증서와 개인 키는 SSH 키 에이전트에 로드되며 사용자 인증서가 만료될 때까지 사용할 수 있습니다.
내 제품에는 다양한 SSH-CA 구현이 있습니다.에카그들 중 하나가 되는 거죠. YMMV.