Nie chcę całkowicie wyłączać zdalnego logowania za pomocą hasła, ale chcę, aby moje konto było dostępne tylko z uwierzytelnianiem za pomocą pary kluczy (istnieją inni użytkownicy, którzy chcą używać haseł do logowania). Czy można to zmienić dla poszczególnych użytkowników, najlepiej bez zmiany ustawień systemowych?
Aby to wyjaśnić, moje konto ma dostęp sudo, więc nie chcę blokować hasła.
ssh
authentication
key-authentication
phunehehe
źródło
źródło
Odpowiedź od jasonwryan będzie we właściwy sposób, aby to zmienić. Jedyne, co chciałbym dodać, to to, że możesz ustawić dopasowanie na podstawie grupy, aby wszyscy użytkownicy w grupie kół byli zobowiązani do korzystania z uwierzytelniania klucza, podczas gdy inni mogli używać haseł.
Wiem, że chcesz to zrobić bez zmiany plików konfiguracyjnych systemu, ale istnieje dobry powód, dla którego nie będzie to możliwe. W twojej głowie ma sens ustanowienie bezpieczniejszej polityki logowania, ale tylko dlatego, że według ciebie jest to bezpieczniejsza opcja, nie zmienia faktu, że nadal jest to zmiana wymagań systemowych dotyczących logowania zdalny użytkownik.
Aby zrozumieć, dlaczego jest to problem, wyobraź sobie scenariusz na odwrót. Administrator systemu (który może zmienić pliki konfiguracyjne systemu) ustawia system na logowanie tylko na podstawie klucza. Następnie pojawia się użytkownik, który ma dostęp tylko do własnego pliku użytkownika i ustawia swoje konto, aby umożliwić uwierzytelnianie hasłem, zastępując zasady systemowe. BEEEEEEP . Problem bezpieczeństwa!
Czy to wyjaśnia, dlaczego zmiana, którą chcesz wprowadzić, jest możliwa tylko z pliku konfiguracji systemu?
źródło
authorized_keys
na wprowadzenie dodatkowych ograniczeń, jak chce phunehe. Na przykładauthorized_keys
można ograniczyć niektóre klawisze do niektórych poleceń.Dlaczego nie po stronie klienta, jeśli jest pewne, że ssh będzie klientem używanym do prób logowania? Jeśli tak, spróbuj wprowadzić zmiany w ssh_config zamiast sshd_config. Sprawdź parametr „PasswordAuthentication No” i PreferredAuthentications
źródło