キーボードインタラクションの検証(RFC 4256)はChallengeResponseAuthentication
OpenSSH設定ファイルに実装されており、複数の認証方法を関連付けることができます。パスワード、TOTPなど。複数のパスワードを接続することも可能ですか?つまり、ユーザーがサーバーに接続したときに質問を受け、password1
質問を続けますpassword2
。それともPAMモジュールとPAM構成にのみ依存していますか?私が尋ねる理由は、そのような設定がユーザーを必要とせずにほとんどの(すべてではありませんが)自動化されたSSH無差別代入ツールを損なうからです。持つ何もない。
ベストアンサー1
答えは「はい」です。正しいターゲットを指していますが、一部が欠落しています。
を使用すると、ChallengeResponseAuthentication
次のことができます。定義より多くの認証方法がありますが、ユーザーがそれを要求しているかどうかを確認するには、たとえば、AuthenticationMethods
その方法のリストを指定する必要がありますsshd_config
(pamを2回実行するのは動作方法の一例にすぎません)。
ChallengeResponseAuthentication yes
AuthenticationMethods keyboard-interactive:pam,keyboard-interactive:pam
しかし、これはPAMでのみ/etc/pam.d/sshd
。
脚注ではそうです。おそらく、通常のSSHをほとんど使用します。スキャン失敗する。ただし、無差別代入攻撃を目指す場合は、パスワード1~2個を推測できます。それは問題ではありません。しかし、これらすべてはまだコンピュータの時間を無駄にします。無効にしたくない場合は、強力なパスワードが必要です(優先する必要があります)。