Comments 9
Хорошо, что существуют нормальные статьи по настройке 2FA, а то можно было бы впасть в отчаяние…
+4
UFO just landed and posted this here
Если «угнали» обе пары ключей… то 2FA поможет как кроличий помёт от раковой опухоли.
0
Внутри SSH работает практически любой другой сетевой протокол
Но при выполнении суммы некоторых условностей:
1. SSH-Сервер умеет желаемое.
2. У нас есть возможность включить необходимые опции в конфиге SSH-Сервера.
3. SSH-Клиент способен осилить нужную нам фичу.
0
Не очень понятно, про что статья, какие-то свои Chef-конфиги… А уже думалось по названию что что-то прям про настройку.
0
Это просто твит про статью о настройке:
Разработчики из компании Honeycomb недавно опубликовали подробную инструкцию, как реализовать соответствующую инфраструктуру на клиенте и сервере.
0
Второй вариант — аппаратная аутентификация
А можно просто так.
0
«Разработчики пишут, что это неидеальный вариант, потому что злоумышленник может поднять фальшивый бастион, перехватить ваш OTP и использовать его.»
Смотрим google auth — там срок жизни ключа 30с что ли. Перехватывать чуть менее чем бесполезно, разве что сразу залогиниться, но если пользователь не сможет войти за пару попыток — скорее всего он поднимет тревогу и уведомит о проблемах админов хоста. Да и сделать это сложно, учитывая шифрованный трафик.
«специальная технология от Krypt.co» — что за бред? Банально — есть duo security (https://duo.com/), купленный циской, оно много куда прикручивается, включая ssh. Настраивается тоже просто, а с системами деплоя запускается просто на раз.
А сейчас есть такая реализация и от гугла, когда он присылает пуш на смарт.
Смотрим google auth — там срок жизни ключа 30с что ли. Перехватывать чуть менее чем бесполезно, разве что сразу залогиниться, но если пользователь не сможет войти за пару попыток — скорее всего он поднимет тревогу и уведомит о проблемах админов хоста. Да и сделать это сложно, учитывая шифрованный трафик.
«специальная технология от Krypt.co» — что за бред? Банально — есть duo security (https://duo.com/), купленный циской, оно много куда прикручивается, включая ssh. Настраивается тоже просто, а с системами деплоя запускается просто на раз.
А сейчас есть такая реализация и от гугла, когда он присылает пуш на смарт.
0
Sign up to leave a comment.
Двухфакторная аутентификация для SSH