使用 Yubico OTP 进行双因素验证(服务端)
提高环境安全的第一步是提高客户端安全性(利用 PIV 进行 SSH 认证)和简化服务器上的管理任务(通过用户证书进行 SSH 认证),不过它们依然只依赖一个契机进行认证,是时候让双因素认证改变这一切了。
在远程服务器上为 SSH 或 sudo
启用双因素认证需要进行线上验证。验证服务可以选择使用由 YubiCloud 提供的 YubiHSM(硬件安全模块),或者使用在私有网络上自行托管的服务。
在私有服务器上运行 OTP 验证服务可以确保你的 Yubikey 中的 AES 密钥完全由你自己控制。不过,如果你使用 YubiCloud 管理 AES 密钥会更利于维护而且将拥有其无缝的操作体验。
YubiCloud 提供付费统计服务,每个月将通过邮件向您汇报个人化信息(包含了服务器在线时间和 Yubikey 使用率报告),付费服务选项中还有一个未定价的 SLA(服务级协议)可供需求选择。
或者你也可以考虑离线验证,例如 HMAC-SHA1 Challenge-Response(HMAC-SHA1 质询-响应)或者 U2F(Universal 2nd Factor,通用第二因素)。但是因为架构限制(HMAC-SHA1 质询-响应要求把你的 Yubikey 插入到远程服务器中)和缺乏软件支持(OpenSSH 尚未支持 U2F 标准)所以目前并未广泛支持。