wow

Nem elég a kulcsos auth jelszóval védett kulccsal? Nem az ssh-n fognak bejönni úgysem.

Ez így nagyon csecse. Tényleg tetszik. De: évek óta (10+) üzemeltetek linuxos szervereket, otthon még régebben. Soha nem fordult elő olyan, h ssh-n jöttek volna be. Fail2ban csomag, maxretry 2, 2 óra ban a próbálkozónak, és csókolom. Root login alapból tiltva, érdekesebb magyar felhasználónévvel, szép jelszóval.

még akkor megvalósítottam, amikor a Linux topikban kiposztoltad. nekem tetszik

már csak OpenWRT-ben kellene ugyanezt megvalósítani.

Igazából, ha ssh-n bejönnek, akkor úgyis valami sebezhetőségen keresztül teszik - az ellen meg nem véd a MFA.

Jó az ötlet, de a védelemnek arányosnak kell lenni a védett értékkel. Nem NATO-szerverekről van szó, gyanítom senki nem fog tökölni egy jól beállított alap ssh-val, mikor talál száz másik egyszerűbben törhetőt.

Mit veszíthetsz, ha betörnek?

Szóval szerintem paranoia. De hobbynak kiváló

nem teljesen világos, de ha nem műx a google, akkor nem tudsz belépni?

mivel tud ez többet, mint egy port knock + akármilyen kulcs vagy akár jelszó?

Több faktoros azonosítás - a port knock-ot azért nem nevezném annak.

a kérdés az volt miben tud többet, nem az, hogy technikailag mit jelent.

Annyiban tud többet, hogy egy port knock-ot bárki tud csinálni, aki tudja, hogy melyik porton kell kopogtatni. De ha nem tudja akkor is elég ha végigkopogtatja az összes portot. Ha még rossz próbálkozásonként tiltasz is, egy közepes botnettel pár perc/óra alatt törhető.

Egy valid one-time password-öt meg nem tudsz csak úgy legenerálni, még akkor sem, ha tudod, hogy OTP-t kell használni.

port knockolni lehet kulccsal is. de mindegy, csak kérdeztem.

Ha kulccsal port knockkolsz akkor az olyan, mintha lenne egy felhasználóneved és három jelszavad:
username
password
port
port-password

Ha a porthoz tartozó jelszó fix, akkor kisebb a biztonság, mint az OTP, ha nem fix, akkor azonos. Ráadásul feltételezem a port-knock általában kódolatlan, tehát sniffelhető (mind a port száma, mind a jelszó megszerezhető).

[ Szerkesztve ]

De műxik, az azonosítás során nem kell kapcsolat a Google-lel.

a kulcs lehet időkulcs is. persze akkor nagyjából ugyanott vagyunk, mint ezzel. annyi a különbség, hogy nem látszik a port. de lehet én értek félre valamit, ne küzdj velem emiatt. részemről maradok a hardverkulcsnál, még ha mobilról nem is megy.

Ennek nincs értelme. Ha ssh-n jönnek be, akkor ssh-n jönnek be, nem valami sebezhetőségen.

És az ssh-ban talán nem lehet sebezhetőség?

Ezek mind szépek és jók, de akkor ezekből mindet érdemes lenne használni? Vagy úgy járhatunk mint itt az ubisalival

Szvsz az interneten kétféle gép van: amit már megtörtek, meg amit ezután fognak, tökéletes védelem nincs. Ha egy támadó azt látja, hogy egy pont túl erősen védett és időrabló foglalkozni vele, keres gyengébben védett pontot a támadott rendszeren. A security feladata az, hogy minél kevesebb ilyen gyenge pontot hagyjon és ne érje meg támadni a rendszert.

Köszönöm, megvilágosodtam. Szóval ez olyan mintha a kocsidon lenne kormányzár, váltózár, meg mindenféle, minél több riasztó, akkor talán nem a tiéddel fognak kínlódni.