sshd: Cách bật xác thực PAM cho người dùng cụ thể trong

9

Tôi đang sử dụng sshd và cho phép đăng nhập bằng xác thực khóa chung.

Tôi muốn cho phép người dùng chọn đăng nhập bằng mô-đun xác thực hai yếu tố PAM.

Có cách nào tôi có thể cho phép xác thực hai yếu tố PAM cho một người dùng cụ thể không?

Với cùng một mã thông báo - Tôi chỉ muốn kích hoạt xác thực mật khẩu cho các tài khoản cụ thể. Tôi muốn trình nền SSH của mình từ chối các nỗ lực xác thực mật khẩu để ngăn chặn các tin tặc nghĩ rằng tôi sẽ không chấp nhận xác thực mật khẩu - ngoại trừ trường hợp ai đó biết tài khoản bí mật được bảo vệ nghiêm ngặt của tôi, được bật mật khẩu. Tôi muốn làm điều này cho các trường hợp trong đó các máy khách SSH của tôi sẽ không cho phép tôi thực hiện khóa bí mật hoặc xác thực hai yếu tố.

linux ssh pam

— Brad
nguồn

Sản phẩm hai yếu tố nào?

— Scott Pack

google-Authenticator

— Brad

8

Bạn có thể có thể xử lý này với các pam_listfilemô-đun. Tạo một /etc/pam.d/sshdtệp trông giống như:

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

Điều này sẽ chỉ cho phép những người được liệt kê trong /etc/authuserskhả năng xác thực bằng mô-đun hai yếu tố (trong trường hợp của chúng tôi là safeid). Tôi chưa thực sự kiểm tra cấu hình này, nhưng lý thuyết là âm thanh.

Bạn có thể làm cho nó đơn giản hơn bằng cách cho phép mọi người xác thực bằng xác thực hai yếu tố; có lẽ, chỉ những người có thiết bị / cấu hình phù hợp mới có thể thành công, vì vậy bạn sẽ có được hành vi tương tự.

— larsks
nguồn

Tôi đang làm một cái gì đó tương tự - tôi có sshd cho phép Chal / resp và Secret Key. Chỉ có một tài khoản thực sự được định cấu hình cho thử thách / phản hồi của Google-Authenticator - vì vậy các tài khoản khác PHẢI chỉ sử dụng Khóa bí mật. Tôi đoán điều này tốt như tôi sẽ nhận được ...

— Brad

3

Để tắt tính năng xác thực hai yếu tố cho người dùng không có Google Authenticator được định cấu hình, hãy thêm nulloktùy chọn trong /etc/pam.d/sshd:

auth   required   pam_google_authenticator.so nullok

Để biết thêm chi tiết, hãy xem: https://github.com/google/google-authenticator-libpam#setting-up-a-user

— Ađam
nguồn

3

Sử dụng giải pháp bên dưới, Mô-đun PAM (trình xác thực google) có thể được tắt cho người dùng cụ thể-

1) Tạo một nhóm người dùng trên phiên bản Linux. MFA / PAM sẽ bị vô hiệu hóa đối với người dùng có mặt trong nhóm mới này-

sudo groupadd <groupname>

2) Tạo Người dùng hoặc thêm người dùng hiện tại vào nhóm mới được tạo

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Chỉnh sửa tệp /etc/pam.d/sshd và thêm câu lệnh dưới đây để bỏ qua mô-đun PAM cho nhóm vừa tạo-

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Không bắt buộc-

Nếu cần truy cập đầy đủ cho nhóm mới này thì hãy thêm dòng dưới đây vào tệp visudo-

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Khi một người dùng sẽ được tạo và thêm vào nhóm mới, MFA sẽ bị bỏ qua cho những người dùng đó.

Tham khảo từ - Blog TechManyu

— Abhimanyu Garg
nguồn