Двухфакторная аутентификация для SSH

[rstepanov]

Хорошо, что существуют нормальные статьи по настройке 2FA, а то можно было бы впасть в отчаяние…

[Vladimir_Feschenko]

Если «угнали» обе пары ключей… то 2FA поможет как кроличий помёт от раковой опухоли.

[karavan_750]

Внутри SSH работает практически любой другой сетевой протокол

Но при выполнении суммы некоторых условностей:
1. SSH-Сервер умеет желаемое.
2. У нас есть возможность включить необходимые опции в конфиге SSH-Сервера.
3. SSH-Клиент способен осилить нужную нам фичу.

[hlebloika]

Не очень понятно, про что статья, какие-то свои Chef-конфиги… А уже думалось по названию что что-то прям про настройку.

[Revertis]

Это просто твит про статью о настройке:

Разработчики из компании Honeycomb недавно опубликовали подробную инструкцию, как реализовать соответствующую инфраструктуру на клиенте и сервере.

[saipr]

Второй вариант — аппаратная аутентификация

А можно просто так.

[karavan_750]

с использованием смарт-карт или USB-токенов на базе российской криптографии

Вот так точно не надо.
Хотя я очень надеюсь дожить до того дня, когда российскому шифрованию/криптографии можно будет доверять, не оглядываясь на возможные последствия.

[playnet]

«Разработчики пишут, что это неидеальный вариант, потому что злоумышленник может поднять фальшивый бастион, перехватить ваш OTP и использовать его.»
Смотрим google auth — там срок жизни ключа 30с что ли. Перехватывать чуть менее чем бесполезно, разве что сразу залогиниться, но если пользователь не сможет войти за пару попыток — скорее всего он поднимет тревогу и уведомит о проблемах админов хоста. Да и сделать это сложно, учитывая шифрованный трафик.

«специальная технология от Krypt.co» — что за бред? Банально — есть duo security (https://duo.com/), купленный циской, оно много куда прикручивается, включая ssh. Настраивается тоже просто, а с системами деплоя запускается просто на раз.
А сейчас есть такая реализация и от гугла, когда он присылает пуш на смарт.