Remote-Zugriffe mit kurzzeitig gültigen OpenSSH-Zertifikaten
Mit temporär gültigen OpenSSH-Zertifikaten lässt sich eine Mehrfaktorauthentifizierung für große Umgebungen realisieren – auch bei höherem Schutzbedarf.
- Michael Ströder
Administratoren greifen meist über das SSH-Protokoll auf ihre Unix-Systeme zu. Es überträgt die Daten verschlüsselt und bietet je nach SSH-Implementierung und eingesetztem Betriebssystem verschiedene Authentifizierungs- und Autorisierungsmöglichkeiten.
Auf einem großen Teil der Client- und Serversysteme kommt heute das freie OpenSSH zum Einsatz. Das kann man mit Fug und Recht "Hidden Champion" der Administrationswerkzeuge nennen. Ursprünglich für OpenBSD entwickelt, gibt es OpenSSH in einer portablen Variante für viele Unix-artige Betriebssysteme und insbesondere Linux. Selbst Microsofts PowerShell-Team portierte die Software auf Windows.
Konfigurationsoption AuthenticationMethods
Neben einer Anmeldung nur per Passwort existiert eine Variante mit asymmetrischer Verschlüsselung. Beides ist standardmäßig aktiviert, was sich aber in der Konfigurationsdatei sshd_config
mit der folgenden Zeile auf die rein schlüsselbasierte Anmeldung einschränken lässt: