Sshd
鍵盤互動式身份驗證是否支持兩個連續密碼?
鍵盤互動式身份驗證(RFC 4256),
ChallengeResponseAuthentication在 OpenSSH 配置文件中實現,允許連結多種身份驗證方法。例如密碼和 TOTP。是否也可以連結多個密碼,即當使用者連接到伺服器時,他被要求輸入password1然後再輸入password2?還是這僅取決於 PAM 模組和 PAM 配置?我問的原因是這樣的設置會破壞大多數(如果不是全部)自動 SSH 蠻力工具,同時仍然不需要使用者擁有任何東西。
答案是肯定的。您指向正確的目標,但您錯過了幾部分:
使用
ChallengeResponseAuthentication,您可以定義更多的身份驗證方法,但要確保它們是從使用者請求的,您需要在 中指定它們的列表AuthenticationMethods,例如像這樣在中sshd_config(執行 pam 兩次只是嘗試它如何工作的範例):ChallengeResponseAuthentication yes AuthenticationMethods keyboard-interactive:pam,keyboard-interactive:pam但要注意,您只能在 PAM 中通過在
/etc/pam.d/sshd.作為腳註,是的。它可能會使大多數正常的 ssh掃描失敗。但是暴力攻擊,如果是有針對性的,可以猜出一兩個密碼。沒關係。但是所有這些仍然會浪費您的電腦時間。如果您不想禁用它們(應該首選),您仍然需要強密碼。