キーボードインタラクションの検証(RFC 4256)はChallengeResponseAuthenticationOpenSSH設定ファイルに実装されており、複数の認証方法を関連付けることができます。パスワード、TOTPなど。複数のパスワードを接続することも可能ですか?つまり、ユーザーがサーバーに接続したときに質問を受け、password1質問を続けますpassword2。それともPAMモジュールとPAM構成にのみ依存していますか?私が尋ねる理由は、そのような設定がユーザーを必要とせずにほとんどの(すべてではありませんが)自動化されたSSH無差別代入ツールを損なうからです。持つ何もない。
答え1
答えは「はい」です。正しいターゲットを指していますが、一部が欠落しています。
を使用すると、ChallengeResponseAuthentication次のことができます。定義より多くの認証方法がありますが、ユーザーがそれを要求しているかどうかを確認するには、たとえば、AuthenticationMethodsその方法のリストを指定する必要がありますsshd_config(pamを2回実行するのは動作方法の一例にすぎません)。
ChallengeResponseAuthentication yes
AuthenticationMethods keyboard-interactive:pam,keyboard-interactive:pam
しかし、これはPAMでのみ/etc/pam.d/sshd。
脚注ではそうです。おそらく、通常のSSHをほとんど使用します。スキャン失敗する。ただし、無差別代入攻撃を目指す場合は、パスワード1~2個を推測できます。それは問題ではありません。しかし、これらすべてはまだコンピュータの時間を無駄にします。無効にしたくない場合は、強力なパスワードが必要です(優先する必要があります)。
答え2
これは理論的には可能ですが、Radiusサーバーなどを使用して2つの認証のいずれかを実行します。それ以外の場合は、パスワード2の2番目のデータベースを描画する必要があります。
しかし、目的が自動化された無差別代入ツールの使用を避けることであれば、最善のアプローチは次のとおりです。あいまいさによるセキュリティまたは、非常に簡単にSSHの標準ポートを22から2233に変更します。私にとって、この解決策は効果があり、「攻撃」暴力は完全に消えました...