>Доброго времени суток. > >На данный момент реализовал следующую схему аутентификацию через ssh (sshd_config): > >PermitRootLogin no >StrictModes yes > >RSAAuthentication no >PubkeyAuthentication yes >AuthorizedKeysFile /etc/ssh/authorized_keys > >RhostsRSAAuthentication no >HostbasedAuthentication no > >IgnoreUserKnownHosts yes >IgnoreRhosts yes > >PasswordAuthentication no >PermitEmptyPasswords no > >ChallengeResponseAuthentication no >UsePAM no > > >Загрузил в /etc/ssh/authorized_keys свой DSA ключ, получил доступ к серверу. Попробовал с >другого компа, выкидывает сразу после ввода логина. Все верно. > >Собственно, вопрос. Это максимальная степень защиты? Можно конечно еще файрволом IP адреса >фильтровать, но при соединении с DIAL-UP он может быть любым (из >диапазона провайдера). Меня интересуют именно средства самого sshd. sshd_known_hosts использовать совместно >с публичным ключом пользователя можно? чтобы сначала определялась легитимность удаленного хоста, >а потом проходила аутентификация уже пользователя. > >Спасибо. Еще можно все пакеты перед передачей к sshd передавать админу на мыло, чтобы тот их проверял на легитимность :) А вообще, если авторизация только по Pubkey да еще и длинна ключа >=4096, то можно смело PermitRootLogin yes Ну и доступ по маске сетки на файрволе никто не отменял, хотя кто знает с какого места еще зайти придется :)
|