Вопрос: sshd: как включить проверку подлинности PAM для определенных пользователей в


Я использую sshd и разрешаю логины с аутентификацией с открытым ключом.

Я хочу разрешить избранным пользователям входить в систему с помощью двухфакторного модуля проверки подлинности PAM.

Есть ли способ разрешить двухфакторную аутентификацию PAM для конкретного пользователя?

Точно так же - я хочу только включить аутентификацию пароля для определенных учетных записей. Я хочу, чтобы мой демон SSH отклонил попытку аутентификации пароля, чтобы помешать потенциальным хакерам думать, что я не буду принимать аутентификацию по паролю - за исключением случая, когда кто-то знает мою сильно охраняемую секретную учетную запись, которая является пароль включен. Я хочу сделать это для случаев, когда мои клиенты SSH не позволят мне делать ни секретный ключ, ни двухфакторную аутентификацию.


6
2018-01-14 19:23


Источник


Какой двухфакторный продукт? - Scott Pack
Google-аутентификатор - Brad


Ответы:


Вероятно, вы справитесь с этим pam_listfile модуль. Создать /etc/pam.d/sshd файл, который выглядит примерно так:

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

Это позволит только людям, перечисленным в /etc/authusers возможность аутентификации с помощью двухфакторного модуля (в нашем случае - secureid). Я на самом деле не тестировал эту конфигурацию, но теория звучит.

Вы можете сделать это проще, разрешив кто угодно для аутентификации с использованием двухфакторной аутентификации; предположительно, только люди с соответствующими устройствами / конфигурацией смогут добиться успеха, так что вы получите то же самое.


6
2018-01-14 20:19



Я делаю что-то похожее - у меня есть sshd allow Chal / Resp и Secret Key. Только одна учетная запись фактически настроена для запроса / ответа Google-Authenticator, поэтому другие аккаунты ДОЛЖНЫ использовать только секретный ключ. Я думаю, это так хорошо, как я собираюсь получить ... - Brad


Чтобы отключить двухфакторный авторизатор для пользователей без Google Authenticator настройте, добавьте nullok в /etc/pam.d/sshd:

auth   required   pam_google_authenticator.so nullok

Подробнее см .: https://github.com/google/google-authenticator-libpam#setting-up-a-user


2
2018-02-18 14:18





Используя приведенное ниже решение, модуль PAM (аутентификатор Google) может быть отключен для определенных пользователей -

1) Создайте группу пользователей в экземпляре Linux. MFA / PAM будет отключена для пользователей, присутствующих в этой новой группе,

sudo groupadd <groupname>

2) Создайте пользователя или добавьте существующего пользователя к вновь созданной группе,

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Отредактируйте файл /etc/pam.d/sshd и добавьте оператор ниже, чтобы пропустить модуль PAM для вновь созданной группы,

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Необязательный-

Если для этой новой группы необходим полный доступ, добавьте строку ниже в visudo file-

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Когда пользователь будет создан и добавлен в новую группу, MFA будет пропущен для этих пользователей.

Ссылка из -Блог TechManyu


1
2017-07-04 00:43