那些遇到过的问题

SSH 密钥身份验证和两因素身份验证的组合

Bra*_*don 7 ssh password pam two-factor

我想知道是否可以同时完成以下操作:

  • 禁用 root 登录
  • 为个人用户启用 SSH 登录,只能通过 SSH 密钥
  • 为非特权用户启用 SSH 登录,仅使用密码身份验证两因素身份验证

使用中的Matchsshd_config我能够设置它,以便PasswordAuthentication除了非特权用户(让我们称之为peon)之外,通常被禁用。登录个人用户(具有 sudo 功能)需要 SSH 密钥。

然而,当我尝试启用双因素身份验证(pam_google_authenticator)我有打开ChallengeResponseAuthentication这似乎不是一个工作Match块,并因此开启了大家的密码验证回来。

有没有办法做到这一点?我对这种类型的东西并不太擅长,因此非常感谢详细的解释。

谢谢!

daw*_*wud 4

最新版本openssh包括AuthenticationMethods以下选项:

Debianopenssh-6.2 向后移植了一段时间,所以我希望 Raspbian 也能使用它。

指定必须成功完成才能授予用户访问权限的身份验证方法。

sshd_config您可以启用您的主块ChallengeResponseAuthentication

ChallengeResponseAuthentication yes
PasswordAuthentication no
PermitRootLogin no
Run Code Online (Sandbox Code Playgroud)

然后AuthenticationMethods在您的Match块中使用(使用Group匹配而不是User匹配来简化可扩展性):

Match Group personal
  AuthenticationMethods publickey

Match Group peon
  PasswordAuthentication yes
  AuthenticationMethods publickey,keyboard-interactive
Run Code Online (Sandbox Code Playgroud)

此外,仅当匹配组需要时,您才可以pam_succeed_if(8)触发双因素身份验证:

 auth required pam_succeed_if.so quiet user ingroup peon
Run Code Online (Sandbox Code Playgroud)

  • `错误的配置选项:AuthenticationMethods` -- `匹配块中不允许使用指令'AuthenticationMethods'` 这是否意味着我需要更新 ssh? (3认同)

归档时间:

查看次数:

3198 次

最近记录:

5 年,4 月 前
相关归档
自动化 ssh-copy-id 37
如何撤销 ssh 证书(不是 ssh 身份文件!) 15
PBIS Open AD 身份验证在 ubuntu 上停止工作,出现错误:“用户帐户已过期”和“您的帐户是否已锁定?” 7
转储/输出/列出所有用户的 Linux 密码到期信息 6
ssh 警告:<代理命令没有主机 IP> 6
SSH跳转和本地命令 5
使用 pam_ldap 进行私钥身份验证 3
有哪些选项可用于保护半专用网络内的数据传输? 2
Rsync 的端口转发 2
使用腻子客户端的 SMB SSH 隧道非常缓慢 2
难疑归档
如何从网站下载 ssl 证书? 222
authorized_keys 和authorized_keys2 之间有什么区别? 169
我可以向在 screen 会话中运行的活动进程的 STDIN 发送一些文本吗? 86
IPTables 只允许本地主机访问 68
使用 noatime 挂载文件系统的缺点? 65
gpg --gen-key 在 centos 6 上获得足够的熵时挂起 62
如何从命令行检查 RHEL 或 CentOS 是否需要重新启动? 61
使用 Ansible 显示输出 57
RAID 中 SSD 的当前状态(2016 年)如何? 54
光纤通道长距离问题 52