키보드 상호작용 검증(RFC 4256)는 ChallengeResponseAuthentication
OpenSSH 구성 파일에 구현되어 있으며 여러 인증 방법을 연결할 수 있습니다. 비밀번호, TOTP 등. 여러 개의 비밀번호를 연결하는 것도 가능합니까? 즉, 사용자가 서버에 연결할 때 질문을 받고 password1
계속해서 질문을 받게 됩니까 password2
? 아니면 PAM 모듈과 PAM 구성에만 의존합니까? 내가 묻는 이유는 그러한 설정이 사용자를 필요로 하지 않으면서 대부분의(모두는 아니지만) 자동화된 SSH 무차별 대입 도구를 손상시키기 때문입니다.가지다아무것.
답변1
대답은 '예'입니다. 올바른 대상을 가리키고 있지만 일부 부분이 누락되었습니다.
을 사용하면 ChallengeResponseAuthentication
다음을 수행할 수 있습니다.정의더 많은 인증 방법이 있지만 사용자가 이를 요청하는지 확인하려면 AuthenticationMethods
예를 들어 에 해당 방법의 목록을 지정해야 합니다 sshd_config
(pam을 두 번 실행하는 것은 작동 방식의 한 예일 뿐입니다).
ChallengeResponseAuthentication yes
AuthenticationMethods keyboard-interactive:pam,keyboard-interactive:pam
하지만 이 작업은 PAM에서만 /etc/pam.d/sshd
.
각주로는 그렇습니다. 아마도 일반 SSH를 대부분 사용하게 될 것입니다.스캐닝실패하다. 그러나 무차별 대입 공격을 목표로 삼는 경우 비밀번호 한두 개를 추측할 수 있습니다. 그것은 중요하지 않습니다. 그러나 이 모든 것은 여전히 컴퓨터 시간을 낭비합니다. 비활성화하지 않으려면 여전히 강력한 비밀번호가 필요합니다(선호되어야 함).
답변2
이는 이론적으로는 가능하지만 Radius 서버와 같은 것을 사용하여 두 가지 인증 중 하나를 수행합니다. 그렇지 않으면 비밀번호 2에 대한 두 번째 데이터베이스를 그려야 합니다.
하지만 목적이 자동화된 무차별 대입 도구 사용을 피하는 것이라면 최선의 접근 방식은 다음과 같습니다.모호함을 통한 보안또는 매우 간단하게 SSH의 표준 포트를 22에서 2233으로 변경합니다. 나에게 이 솔루션은 효과가 있었고 "공격" 폭력은 완전히 사라졌습니다...