Niedawno włączyłem uwierzytelnianie dwuskładnikowe za pomocą uwierzytelniacza google na moim serwerze SSH. Jednak mam teraz problem:
Mam inną grupę użytkowników na moim serwerze, której używam dla SFTP, ale ta grupa nie jest już w stanie się zalogować, ponieważ 2FA nie jest skonfigurowany dla użytkowników w grupie. Czy można wyłączyć moduł uwierzytelniania Google dla tej grupy? Włączenie go dla użytkowników w grupie nie jest opcją, ponieważ wielu użytkowników będzie korzystać z tego konta.
PS: Używam openssh-server
Odpowiedzi:
Możesz użyć
pam_succeed_if
modułu (patrz strona instrukcji) przed,pam_google_authenticator
aby pominąć tę część dla swojej grupy:źródło
[success=1 default=ignore]
zamiastrequired
. W tej chwili, myślę, że użytkownik spoza grupy doprowadzi do niepowodzenia uwierzytelnienia.success=1
spowoduje, że pominie następną metodę,default=ignore
oznacza , że użytkownicy spoza grupy po prostu przejdą do następnej metody.Niektórzy klienci SFTP mogą obsługiwać 2FA. Na przykład używam 2FA z FileZilla i WinSCP i one działają. Mam też skonfigurowane uwierzytelnianie za pomocą klucza SSH i działa ono razem z 2FA.
Jednak twoje pytanie jest interesujące i przeprowadziłem krótką ankietę. Znalazłem tę odpowiedź .
Możliwe jest (i łatwe) uruchamianie osobnych instancji ssh. Już to przetestowałem.
Wykonaj osobne kopie
sshd_config
pliku.Edytuj te nowe
config
pliki. Jedną z rzeczy, które musisz zmienić, jest port shh. Zgodnie z przykładem:2.a)
sshd_config_pwd
określone wiersze to:2.b)
sshd_config_2fa
określone wiersze to:Otwórz niezbędne porty do zapory. Zgodnie z przykładem:
Uruchom nowe instancje ssh:
Otóż to.
źródło
sshd_config
aby używać innego stosu PAM i nie używać 2FA?Poniższe spowoduje, że Google 2FA będzie obowiązkowy dla wszystkich użytkowników
z wyjątkiem użytkowników należących do sudo i grupy administracyjnej
(co oznacza, że jeśli użytkownik z grupy sudo lub administrator nie ma skonfigurowanego 2FA, uwierzytelni go / ją na podstawie ich klucza publicznego):
Plik:
/etc/pam.d/sshd
Plik:
/etc/ssh/sshd_config
Wyniki:
Zgodnie z dokumentacją README.md Google Authenticator :
Dzięki temu korzystanie z
nullok
tego miejsca jest bezpieczne.źródło