TL; DR : quiero tener una contraseña simple para desbloquear mi computadora con acceso físico y una contraseña compleja para conectarme a través de ssh. Esto, utilizando la misma cuenta.
Estoy buscando una solución para administrar el acceso a mi computadora. Para alguien que tiene acceso físico a mi computadora (como yo y un par de amigos míos que la usarán de vez en cuando), me gustaría tener una contraseña simple y corta que mantenga alejados a completos extraños. Sin embargo, me gustaría tener otra contraseña compleja para el servidor SSH, porque el servidor SSH estará disponible en la Internet pública de vez en cuando y tener una contraseña simple sería un gran riesgo para la seguridad.
He investigado la autenticación sin contraseña usando claves ssh, pero eso no es lo que estoy buscando, porque quiero poder acceder a mi computadora desde cualquier dispositivo. (Y según tengo entendido, mi computadora debería tener una lista de claves ssh confiables).
Entonces, idealmente, quiero tener una contraseña simple para desbloquear mi computadora con acceso físico y una contraseña compleja para conectarme a través de ssh.
Creo que la solución real es crear una cuenta que no sea de administrador a la que se pueda acceder a través de ssh (presumiblemente, la cuenta que desea usar a través del acceso físico tendrá privilegios de sudo). La cuenta ssh realmente no debería tener nada ni poder hacer nada más que permitir que un usuario inicie sesión. Luego, puede pasar su
de ese usuario a la cuenta real que desea usar, lo que le brindará una capa adicional de seguridad y un mejor inicio de sesión con respecto a quién está accediendo al sistema (o tratando de hacerlo)
No es exactamente lo que describes, pero debería resolver tus problemas. La herramienta se llama "autorización de paquete único" y una implementación muy buena con descripción es fwknop .
Si tiene una computadora con IP accesible desde Internet, es muy común ver muchos intentos de autenticación en SSH y es muy útil para proteger el servicio de alguna manera. Esconderse es un buen enfoque. Fwknop básicamente le permitirá desbloquear el ssh
puerto para una dirección específica desde su teléfono móvil (por ejemplo) y luego podrá conectarse usando su contraseña relativamente simple sin exponerla al mundo.
Si es demasiado complicado, siempre puede configurar dos usuarios:
AllowUsers
la opción ensshd_config
y configure sudo
la transición del remoto al local (ya sea automática o manualmente) para entrar en el mismo "contexto" que con sus inicios de sesión locales.
agenteatropellado
Martijn Courteaux
su
?agenteatropellado