2 votos

JeffFoster avatar

Segunda contraseña para el acceso sólo SSH

Preguntado el 12 de Diciembre, 2015
Cuando se hizo la pregunta
164 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

TL;DR : Quiero tener una contraseña simple para desbloquear mi ordenador con acceso físico y una contraseña compleja para conectarme por ssh. Esto, utilizando la misma cuenta.

Estoy buscando una solución para gestionar el acceso a mi ordenador. Para alguien que tenga acceso físico a mi ordenador (como yo y un par de mis amigos que lo usarán de vez en cuando), me gustaría tener una contraseña simple y corta que mantenga a los completos extraños fuera. Sin embargo, me gustaría tener otra contraseña compleja para el servidor SSH, porque el servidor SSH estará disponible desde la Internet pública de vez en cuando y tener una contraseña simple sería demasiado riesgo de seguridad.

He mirado en la autenticación sin contraseña utilizando claves ssh, pero eso no es lo que estoy buscando, porque quiero ser capaz de ssh en mi ordenador desde cualquier dispositivo. (Y por lo que tengo entendido, mi ordenador debería tener una lista de claves ssh de confianza).

Así que, idealmente, quiero tener una contraseña sencilla para desbloquear mi ordenador con acceso físico y una contraseña compleja para conectarme por ssh.

Preguntado el 12 de Diciembre, 2015 por JeffFoster

Respuestas

¿Demasiados anuncios?

2voto

Chris Cundy avatar
Chris Cundy Puntos 738

Creo que la verdadera solución es crear una cuenta que no sea de administrador y a la que se pueda acceder por ssh (presumiblemente la cuenta que se quiere usar por acceso físico tendrá privilegios de sudo). La cuenta ssh realmente no debería tener nada ni ser capaz de hacer nada más que permitir que un usuario se conecte. Entonces puedes su de ese usuario a la cuenta real que desea utilizar, lo que le dará una capa adicional de seguridad y un mejor registro con respecto a quién está accediendo al sistema (o tratando de hacerlo)

Respondido el 12 de Diciembre, 2015 por Chris Cundy (738 Puntos )

1voto

Jakuje avatar
Jakuje Puntos 318

No es exactamente lo que describes, pero debería resolver tus problemas. La herramienta se llama "autorización de un solo paquete" y la implementación muy agradable con la descripción es fwknop .

Si tienes un ordenador con IP accesible desde Internet, es realmente común ver muchos intentos de autenticación en SSH y es realmente práctico proteger el servicio de alguna manera. Ocultar es un buen enfoque. Fwknop básicamente le permitirá desbloquear el ssh puerto para la dirección específica de su teléfono móvil (por ejemplo) y luego puede conectarse usando su contraseña relativamente simple sin exponerla al mundo.

Si es demasiado complicado, siempre puedes establecer dos usuarios:

  • local:
    • con contraseña simple
    • se niega a iniciar sesión de forma remota
  • remoto:
    • contraseña compleja
    • permitió el inicio de sesión remoto utilizando AllowUsers opción en sshd_config

y establecer sudo transición del remoto al local (de forma automática o manual) para entrar en el mismo "contexto" que con sus inicios de sesión locales.

Respondido el 12 de Diciembre, 2015 por Jakuje (318 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X