Je n’ai pas la solution parfaite, mais déjà dans ton .ssh/config tu peux mettre un "SeverAliveInterval 30" pour maintenir la connexion, on peut même baisser a 5 pour les 4G dans le train :-)
Ce que je ferai, c'est, connexion sur un bastion avec 2FA, lancement d'un tmux dans le shell (sur le bastion donc). Tu à ainsi l'enregistrement de ce que tu fais (compliance toussa) + retour de la session si le SSH coupe. Pour les clés 2FA phy les yubikey cpas mal. Sinon on a FreeOTP au taff sur le téléphone ça fait le job. On Tue, Apr 13, 2021 at 10:27 AM Mickael Hubert <mick...@winlux.fr> wrote: > Bonjour à tous, > Actuellement pour prendre la main sur nos serveurs (SSH), nous nous > connectons à des accès VPN, il y a X profils (Ex: admin, développeurs, etc > ..) et chaque profil n'a accès qu'à ce qu'il a besoin. > Mais dans le cadre de notre compliance PCI-DSS, il nous manque 2 points à > valider, l'un d'eux est la mise en place du 2FA sur nos accès SSH > justement. > Bon le truc, c'est qu'on ouvre 1001 fenêtres quand on travaille sur un > serveur ;) > Si je dois à chaque fois taper le 2FA ça va vite devenir chiant... sans > parler du timeout d'inactivité de la session SSH. > > Auriez-vous des solutions "plus user friendly" ? > J'avais imaginer mettre en place un bastion, mais bon ouvrir 1001 sessions > avec 2FA sur le bastion ou sur les serveurs en direct, ça revient au même > pour moi. > A moins qu'il existe un bastion qui te demande le 2FA à la première > connexion, puis plus après pour les autres sessions que tu pourrais ouvrir > ... > Peut-être du 2FA en hard (avec une clé)... > > merci d'avance pour votre aide > ++ > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Cordialement, Rémi Desgrange --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
