sshd: So aktivieren Sie die PAM-Authentifizierung für bestimmte Benutzer unter

8

Ich verwende sshd und erlaube Anmeldungen mit Authentifizierung mit öffentlichem Schlüssel.

Ich möchte ausgewählten Benutzern ermöglichen, sich mit einem PAM-Zwei-Faktor-Authentifizierungsmodul anzumelden.

Gibt es eine Möglichkeit, die PAM-Zwei-Faktor-Authentifizierung für einen bestimmten Benutzer zuzulassen?

Aus dem gleichen Grund möchte ich die Kennwortauthentifizierung nur für bestimmte Konten aktivieren. Ich mag , dass mein SSH - Daemon die Passwort - Authentifizierung Versuche zu vereiteln Möchtegern-Hacker zu denken , zu verwerfen , dass ich nicht Passwort - Authentifizierung akzeptieren - außer für den Fall, dass jemand mein schwer bewachtes geheimes Konto weiß, das ist Kennwort aktiviert. Ich möchte dies für Fälle tun, in denen meine SSH-Clients weder einen geheimen Schlüssel noch eine Zwei-Faktor-Authentifizierung zulassen.

linux  ssh  pam 
Brad
quelle
Welches Zwei-Faktor-Produkt?
Scott Pack
Google-Authentifikator
Brad

Antworten:

8

Sie könnten dies wahrscheinlich mit dem pam_listfileModul behandeln. Erstellen Sie eine /etc/pam.d/sshdDatei, die ungefähr so ​​aussieht:

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

Dies würde nur Personen erlauben, die in /etc/authusersder Fähigkeit aufgeführt sind, sich mit einem Zwei-Faktor-Modul (in unserem Fall Secureid) zu authentifizieren. Ich habe diese Konfiguration noch nicht getestet, aber die Theorie ist solide.

Sie können es einfacher machen, indem Sie jedem erlauben , sich mithilfe der Zwei-Faktor-Authentifizierung zu authentifizieren. Vermutlich können nur die Personen mit den entsprechenden Geräten / Konfigurationen erfolgreich sein, sodass Sie effektiv das gleiche Verhalten erhalten.

Larsks
quelle
Ich mache etwas Ähnliches - ich habe sshd Chal / Resp und Secret Key erlaubt. Für die Google-Authenticator-Herausforderung / -Antwort ist nur ein Konto konfiguriert. Andere Konten MÜSSEN daher nur den geheimen Schlüssel verwenden. Ich denke, das ist so gut, wie ich es bekommen werde ...
Brad
3

Mit der folgenden Lösung kann das PAM-Modul (Google Authenticator) für bestimmte Benutzer deaktiviert werden.

1) Erstellen Sie eine Benutzergruppe auf der Linux-Instanz. MFA / PAM wird für Benutzer in dieser neuen Gruppe deaktiviert.

sudo groupadd <groupname>

2) Benutzer erstellen oder vorhandenen Benutzer zu neu erstellter Gruppe hinzufügen

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Bearbeiten Sie die Datei /etc/pam.d/sshd und fügen Sie die folgende Anweisung hinzu, um das PAM-Modul für die neu erstellte Gruppe zu überspringen.

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Optional-

Wenn für diese neue Gruppe vollständiger Zugriff erforderlich ist, fügen Sie die folgende Zeile zur visudo-Datei hinzu.

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Wenn ein Benutzer erstellt und der neuen Gruppe hinzugefügt wird, wird MFA für diese Benutzer übersprungen.

Referenziert von - TechManyu Blog

Abhimanyu Garg
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.