Linux:除了根权限之外，还可以使用ssh密钥对吗？

Question

我面临着保护嵌入式平台的问题。所有ssh强化都已设置，包括2因素身份验证和使用ssh密钥对登录。

现在，根密码和用户密码都很容易破解，你所需要的只是物理访问设备，留下所有的措施和预防措施多余。我的想法是使用与ssh相同的技术来强化根访问。(强化sudo命令和根访问)然而，虽然这是所有嵌入式平台上的一个常见问题，但我找不到有关这方面的很多信息。

我该怎么处理这个？

Answer 1

我不知道你到底想要什么，所以我来猜一猜，假设你想强化你的sudo认证。

如果在您的系统上支持PAM，那么请查看用于ssh公钥身份验证的pam_ssh_agent_auth或在pam_sss_gss (这可能需要正确设置FreeIPA IdM)。

Answer 2

实体访问不能完全被保护。一个有足够动力的人会反向设计系统以获得访问权，然后拆卸系统并读取硬件。

尽可能用更强的身份验证替换密码，从而使攻击者的任务更加困难。

SSH可以配置为删除密码auth，OpenSSH和dropbear实现都允许这样做。

检查哪些登录在本地是可能的，而不是通过网络。带USB的视频输出可能允许登录到tty。或者，硬件可以提供串行控制台。

在带有PAM库的Linux盒上，可以通过各种方式组合的模块来定制身份验证。

• 允许使用像Yubikey (pam_u2f)这样的硬件验证器登录或sudo U2F。
• 允许来自设备的一次性密码(pam_google_authenticator或pam_oath)
• 基于ssh-agent (pam_ssh_agent_auth)的认证
• 删除足以进行身份验证的密码
• 禁止根登录，只允许根用户物理访问串口(pam_securetty)
• 如果你必须有密码，强制长16个字符(pam_pwquality)，并鼓励使用像Diceware这样的短语。不要使用“复杂性”要求，那些是不友好的用户。

这是对OS身份验证的介绍，那之前呢？在引导过程中，物理访问会让您进入其中。在grub中编辑内核命令可以获得一个没有凭据的shell。这虽然对从丢失的凭据中恢复有用，但可能并不可取。考虑保护引导加载程序的密码。