Tôi có một máy chủ Ubuntu có cả IP riêng, nội bộ, IP và IP công khai. Tôi muốn thiết lập xác thực hai yếu tố cho SSH ở phía công khai. Điều này có thể không? Tôi đã lên kế hoạch sử dụng Google Authenticator, nhưng cũng sẵn sàng cho những ý tưởng thay thế.
Câu trả lời:
Vâng, bạn có thể làm điều này với pam_access.so. Công thức này được lấy từ wiki cho Google Authenticator :
Một công thức PAM hữu ích là cho phép bỏ qua xác thực hai yếu tố khi kết nối bắt nguồn từ một số nguồn nhất định. Điều này đã được hỗ trợ bởi PAM. Ví dụ: mô-đun pam_access có thể được sử dụng để kiểm tra nguồn dựa trên các mạng con cục bộ:
# skip one-time password if logging in from the local network auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth required pam_google_authenticator.soTrong trường hợp này, access-local.conf trông giống như:
# only allow from local IP range + : ALL : 10.0.0.0/24 + : ALL : LOCAL - : ALL : ALLDo đó, các lần thử đăng nhập từ 10.0.0.0/24 sẽ không yêu cầu xác thực hai yếu tố.
AuthenticationMethods publickey,keyboard-interactivetrong của tôi /etc/ssh/sshd_config. Vì vậy, tôi đã thay đổi cách sau để sửa nó:auth [success=done default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth optional pam_google_authenticator.so nullok