Đang cố gắng lấy SSH bằng khóa chung (không có mật khẩu) + trình xác thực google hoạt động trên Ubuntu 14.04.1

Tôi đang sử dụng Ubuntu 14.04.1 (với OpenSSH 6.6 và libpam-google-Authenticator 20130529-2).

Tôi đang cố gắng thiết lập thông tin đăng nhập SSH nơi khóa công khai xác thực (không có mật khẩu) và người dùng được nhắc nhập mã từ Trình xác thực của Google.

Làm theo / điều chỉnh các hướng dẫn này đã giúp tôi nhận được lời nhắc mật khẩu cũng như lời nhắc Google Auth:

• https://scottlinux.com/2013/06/02/use-google-authenticator-for-two-factor-ssh-authentication-in-linux/
• http://www.howtogeek.com/121650/how-to-secure-ssh-with-google-authenticators-two-factor-authentication/
• https://wiki.archlinux.org/index.php/Google_Authenticator và https://wiki.archlinux.org/index.php/SSH_keys#Two-factor_authentication_and_public_keys
• https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-two-factor-authentication

Tôi đã cài đặt gói, chỉnh sửa /etc/ssh/sshd_configvà /etc/pam.d/sshcác tập tin của tôi

Trong /etc/ssh/sshd_config:

ChallengeResponseAuthentication yes
AuthenticationMethods  publickey,keyboard-interactive
UsePAM yes

và ở dưới cùng của /etc/pam.d/ssh:

auth required pam_google_authenticator.so nullok # (I want to give everyone a chance to set up their 2FA before removing "nullok")

Tôi biết PAM là phụ thuộc đơn hàng, nhưng sshd_configcũng được?

Tôi đang làm gì sai? Bất kỳ trợ giúp sẽ được đánh giá cao.

Có nó hoạt động tốt, đầu tiên đã làm:

apt-get install libpam-google-authenticator

Trong /etc/pam.d/sshdtôi đã thay đổi / thêm các dòng sau (ở trên cùng):

# @include common-auth
auth required pam_google_authenticator.so

Và trong /etc/ssh/sshd_config:

ChallengeResponseAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive
PasswordAuthentication no

Hoạt động tốt và bây giờ tôi nhận được lời nhắc "Mã xác minh" sau khi xác thực bằng khóa chung. Tôi không chắc chắn làm thế nào tôi có thể cho phép xác thực bằng mật khẩu + mã thông báo HOẶC khóa + mã thông báo, vì hiện tại tôi đã xóa phương thức xác thực mật khẩu khỏi PAM một cách hiệu quả.

Sử dụng Ubuntu 14.04.1 LTS (GNU / Linux 3.8.0-19-generic x86_64) với ssh -v: OpenSSH_6.6.1p1 Ubuntu-2ubfox2, OpenSSL 1.0.1f ngày 6 tháng 1 năm 2014

Cuối cùng tôi đã có thể làm cho nó hoạt động bằng cách đặt auth [success=done new_authtok_reqd=done default=die] pam_google_authenticator.so nullokở đầu /etc/pam.d/sshd.

Theo trang người đàn ông pam.d :

• success=done có nghĩa là nếu Google Authenticator tắt, sẽ không có thêm xác thực nào, nghĩa là không có dấu nhắc mật khẩu bổ sung.
• default=die có nghĩa là nếu Google Authenticator từ chối nỗ lực đăng nhập, xác thực sẽ ngay lập tức thất bại, bỏ qua lời nhắc mật khẩu.

Vì vậy, [success=done new_authtok_reqd=done default=die]là một sự pha trộn giữa các giá trị sufficientvà requisitekiểm soát, vì chúng ta muốn hành vi từ cả hai: nếu thành công, chấm dứt ngay lập tức (đủ) và nếu thất bại, cũng chấm dứt ngay lập tức (cần thiết).

Lưu ý rằng nullokđối số với pam_google_authenticator.so có nghĩa là nếu ~/.google_authenticatorkhông tìm thấy tệp cho người dùng, xác thực khóa công khai sẽ diễn ra như bình thường. Điều này hữu ích nếu tôi chỉ muốn khóa một tập hợp con các tài khoản của mình bằng 2FA.

Câu trả lời của Linus Kendall nên hoạt động trên các hệ thống cũ, nhưng trên các máy Linux mới hơn thì có vấn đề; trên máy chủ web dựa trên linux arch của tôi, cấu hình đó dẫn đến việc pam yêu cầu mã xác thực và mật khẩu của tôi sau khi nhận được khóa ssh của tôi (tức là tôi cần cả 3).

Một giải pháp đơn giản hơn ngăn chặn vấn đề này và sẽ hoạt động trên mọi hệ thống là thay đổi mục nhập /etc/pam.d/sshdthành:

auth sufficient pam_google_authenticator.so

Và sau đó thực hiện các chỉnh sửa tương tự với `` / etc / ssh / sshd` mà Linus đã đề cập:

ChallengeResponseAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive
PasswordAuthentication no

Điều đó sẽ hỏi bạn mã thông báo xác thực của bạn sau khi máy chủ chấp nhận khóa chung của bạn. Nó không nên yêu cầu mật khẩu của bạn.

Là một lưu ý phụ, nếu bạn muốn có một tài khoản người dùng sftp, có lẽ bạn sẽ cần phải bỏ qua trình xác thực google để làm cho nó hoạt động. Dưới đây là một gợi ý về cách thực hiện điều đó một cách an toàn bằng cách sử dụng nhà tù sftp. Trong etc/ssh/sshd_config:

Subsystem sftp internal-sftp
Match User ftp-user
  PasswordAuthentication yes
  AuthenticationMethods password
  ChrootDirectory /path/to/ftp/dir
  ForceCommand internal-sftp

Bạn sẽ cần phải thực hiện các điều khoản trên / path / to / ftp / dir gốc ghi duy nhất (ví dụ như chown root:root /path/to/ftp/dir, chmod 755 /path/to/ftp/dir. Tất cả các bậc cha mẹ trên thư mục đó cũng cần cho phép an toàn. Con đường tôi thường làm điều này là bằng cách làm cho thư mục chroot /home/shared/user, tạo ra một thư mục trong đó (ví dụ 'dữ liệu') và sau đó gắn bất kỳ thư mục nào tôi muốn chia sẻ như thế này:sudo mount -o bind /path/to/ftp/dir /home/shared/user/data

Nếu bạn làm theo tất cả các bước đó, bạn sẽ có khóa công khai + đăng nhập google xác thực cho người dùng ssh của bạn và tài khoản sftp được bảo vệ bằng mật khẩu chức năng để truyền dữ liệu.