Tôi có máy chủ OpenSSH 5.9p1 chạy trên Ubuntu Precise 12.04, chấp nhận kết nối từ cả mạng nội bộ và Internet. Tôi muốn yêu cầu xác thực khóa chung cho các kết nối từ Internet, nhưng chấp nhận xác thực khóa chung hoặc mật khẩu cho các kết nối từ mạng nội bộ. Tôi có thể định cấu hình OpenSSH để thực hiện việc này không?
Câu trả lời:
Lệnh Matchtrong /etc/ssh/sshd_configcho phép bạn áp dụng có chọn lọc các chỉ thị cấu hình. Một trong những tiêu chí phù hợp có sẵn là địa chỉ nguồn của kết nối và do đó, điều này có thể được sử dụng để thực hiện những gì bạn muốn. Bạn có thể tắt xác thực mật khẩu theo mặc định, sau đó kích hoạt nó cho các kết nối từ dải IP mạng bên trong. (Lưu ý rằng bạn cũng muốn tắt ChallengeResponseAuthenticationđể ngăn mật khẩu được sử dụng.) Ví dụ này cho phép xác thực mật khẩu từ tất cả các dải IP riêng RFC1918. Xem trang chủ sshd_config để biết thêm chi tiết.
PasswordAuthentication no
ChallengeResponseAuthentication no
Match Address 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
PasswordAuthentication yes
Lưu ý rằng khối Kết hợp phải được thêm vào cuối tệp nếu không mọi thứ tiếp theo sẽ được khớp cho đến khối Kết hợp tiếp theo. Vị trí xấu của khối Match có thể khiến không thể kết nối.