sshd: как включить аутентификацию PAM для определенных пользователей в

9

Я использую sshd, и разрешить вход с аутентификацией с открытым ключом.

Я хочу разрешить некоторым пользователям входить в систему с помощью модуля двухфакторной аутентификации PAM.

Можно ли как-то разрешить двухфакторную аутентификацию PAM для конкретного пользователя?

К тому же, я хочу включить аутентификацию по паролю только для определенных учетных записей. Я хочу , чтобы мой SSH демон отказаться от попыток аутентификации пароля для банки потенциальных хакеров, думая , что я не принимаю пароль - для случая , в котором кто - то знает мой сильно охраняемый секретный счет, который кроме является включен пароль. Я хочу сделать это в тех случаях, когда мои клиенты SSH не разрешают мне делать ни секретный ключ, ни двухфакторную аутентификацию.

linux ssh pam штифтик
источник
Какой двухфакторный продукт?
Скотт Пак
Google-аутентификатор
Брэд

Ответы:

8

Вы могли бы, вероятно, справиться с этим с помощью pam_listfileмодуля. Создайте /etc/pam.d/sshdфайл, который выглядит примерно так:

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

Это позволит только людям, перечисленным в списке, иметь /etc/authusersвозможность проходить аутентификацию с помощью двухфакторного модуля (в нашем случае - secureid) Я на самом деле не проверял эту конфигурацию, но теория обоснована.

Вы можете сделать это проще, разрешив кому-либо проходить аутентификацию с использованием двухфакторной аутентификации; по-видимому, только те люди с соответствующими устройствами / конфигурацией смогут добиться успеха, так что вы получите фактически такое же поведение.

larsks
источник
Я делаю что-то похожее - у меня есть sshd разрешить Chal / Resp и Secret Key. Только одна учетная запись фактически настроена для запроса / ответа Google-Authenticator, поэтому другие учетные записи ДОЛЖНЫ использовать только секретный ключ. Я думаю, это так хорошо, как я собираюсь получить ...
Брэд
3

Чтобы отключить двухфакторную аутентификацию для пользователей без настроенного Google Authenticator , добавьте nullokпараметр в /etc/pam.d/sshd:

auth   required   pam_google_authenticator.so nullok

Для получения дополнительной информации см .: https://github.com/google/google-authenticator-libpam#setting-up-a-user.

Адам
источник
3

Используя приведенное ниже решение, модуль PAM (google authenticator) можно отключить для определенных пользователей.

1) Создайте группу пользователей на экземпляре Linux. MFA / PAM будет отключен для пользователей, присутствующих в этой новой группе.

sudo groupadd <groupname>

2) Создать пользователя или добавить существующего пользователя во вновь созданную группу.

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Отредактируйте файл /etc/pam.d/sshd и добавьте следующую инструкцию, чтобы пропустить модуль PAM для вновь созданной группы.

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Необязательный-

Если для этой новой группы требуется полный доступ, добавьте строку ниже в файл visudo-

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Когда пользователь будет создан и добавлен в новую группу, MFA будет пропущен для этих пользователей.

Ссылка от - TechManyu Блог

Абхиманью Гарг
источник