Vô hiệu hóa mô-đun PAM cho nhóm

Gần đây tôi đã kích hoạt xác thực hai yếu tố bằng cách sử dụng google-xác thực trên máy chủ SSH của mình. Tuy nhiên tôi hiện đang phải đối mặt với một vấn đề:

Tôi có một nhóm người dùng khác trên máy chủ của mình mà tôi đang sử dụng cho SFTP, nhưng nhóm đó không còn có thể đăng nhập do 2FA không được thiết lập cho người dùng trong nhóm. Có thể tắt mô-đun google-xác thực cho nhóm đó không? Kích hoạt nó cho người dùng trong nhóm không phải là một tùy chọn vì nhiều người dùng sẽ sử dụng tài khoản này.

Tái bút: Tôi sử dụng openssh-server

Bạn có thể sử dụng pam_succeed_ifmô-đun (xem trang thủ công) trước khi pam_google_authenticatorbỏ qua phần này cho nhóm của bạn:

# the other authentication methods, such as @include common-auth
auth [success=1 default=ignore] pam_succeed_if.so user ingroup group
auth required pam_google_authenticator ...

Một số khách hàng SFTP có thể xử lý 2FA. Ví dụ: tôi đang sử dụng 2FA với FileZilla và WinSCP và chúng hoạt động. Ngoài ra tôi có thiết lập xác thực ssh-key và nó hoạt động cùng với 2FA.

Tuy nhiên câu hỏi của bạn rất thú vị và tôi đã làm một cuộc khảo sát ngắn. Tôi tìm thấy câu trả lời này .

Vì vậy, có thể (và dễ dàng) để chạy các trường hợp ssh riêng. Tôi đã thử nó rồi.

1. Tạo các bản sao riêng biệt của sshd_configtập tin.

   $ sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_pwd
   $ sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_2fa
   

2. Chỉnh sửa các configtập tin mới này . Một trong những điều bạn phải thay đổi là cổng shh. Theo ví dụ:

   2.a) sshd_config_pwdcác dòng cụ thể là:

   Port 1022
   ...
   PasswordAuthentication yes
   ChallengeResponseAuthentication no
   UsePAM no
   

   2.b) sshd_config_2facác dòng cụ thể là:

   Port 2022
   ...
   PasswordAuthentication no
   ChallengeResponseAuthentication yes
   UsePAM yes
   

3. Mở các cổng cần thiết vào tường lửa. Theo ví dụ:

   $ sudo ufw limit 1022
   $ sudo ufw limit 2022
   

4. Chạy các trường hợp ssh mới:

   $ sudo /usr/sbin/sshd -f /etc/ssh/sshd_config_pwd
   $ sudo /usr/sbin/sshd -f /etc/ssh/sshd_config_2fa
   

Đó là nó.

Sau đây sẽ làm cho Google 2FA bắt buộc đối với tất cả người dùng
ngoại trừ người dùng thuộc sudo và quản trị nhóm
(có nghĩa là nếu một người sử dụng từ nhóm sudo hoặc quản trị không có 2FA cấu hình, nó sẽ xác nhận anh / cô ấy dựa trên khóa công khai của họ):

Tập tin: /etc/pam.d/sshd

auth required pam_google_authenticator.so nullok
auth optional pam_succeed_if.so user ingroup sudo
auth optional pam_succeed_if.so user ingroup admin

Tập tin: /etc/ssh/sshd_config

AuthenticationMethods publickey,keyboard-interactive
UsePAM yes
ChallengeResponseAuthentication yes

Các kết quả:

          |  Belongs to sudo or  |  Has 2FA Already Setup      |  Authentication Result
          |  admin group         |  in ~/.google_authenticator | 
----------+----------------------+-----------------------------+------------------------
User A    |          NO          |       NO                    | DENIED LOGIN UNTIL 2FA IS SETUP
User B    |          YES         |       NO                    | CAN LOGIN (PRIVATE/PUBLIC KEY USED)

User C    |          NO          |       YES                   | CAN LOGIN (PRIVATE/PUBLIC KEY AND 2FA USED)

User D    |          YES         |       YES                   | CAN LOGIN (PRIVATE/PUBLIC KEY AND 2FA USED)

Theo Tài liệu README.md của Google Authenticator :

nullok

PAM yêu cầu ít nhất một câu trả lời THÀNH CÔNG từ một mô-đun và nullok khiến mô-đun này nói IGNORE. Điều này có nghĩa là nếu tùy chọn này được sử dụng thì ít nhất một mô-đun khác phải có THÀNH CÔNG. Một cách để làm điều này là thêm ph_permit.so yêu cầu vào cuối cấu hình PAM.

Điều này làm cho việc sử dụng nullokở đây an toàn.