sshd: Cara mengaktifkan otentikasi PAM untuk pengguna tertentu di bawah

9

Saya menggunakan sshd, dan mengizinkan login dengan otentikasi kunci publik.

Saya ingin mengizinkan pengguna terpilih untuk masuk dengan modul otentikasi dua faktor PAM.

Apakah ada cara saya dapat mengizinkan otentikasi dua faktor PAM untuk pengguna tertentu?

Dengan cara yang sama - Saya hanya ingin mengaktifkan otentikasi kata sandi untuk akun tertentu. Saya ingin daemon SSH saya untuk menolak upaya otentikasi password untuk menggagalkan calon hacker dengan berpikir bahwa saya tidak akan menerima otentikasi password - kecuali untuk kasus di mana seseorang tahu akun rahasia saya dijaga ketat, yang merupakan sandi diaktifkan. Saya ingin melakukan ini untuk kasus di mana klien SSH saya tidak akan membiarkan saya melakukan kunci rahasia, atau otentikasi dua faktor.

linux ssh pam

— Brad
sumber

Produk dua faktor yang mana?

— Scott Pack

google-authenticator

— Brad

8

Anda mungkin bisa menangani ini dengan pam_listfilemodul. Buat /etc/pam.d/sshdfile yang terlihat seperti:

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

Ini akan memungkinkan hanya orang yang terdaftar dalam /etc/authuserskemampuan untuk mengotentikasi dengan modul dua faktor (dalam kasus kami, secureid). Saya belum benar-benar menguji konfigurasi ini, tetapi teorinya bagus.

Anda dapat membuatnya lebih sederhana dengan mengizinkan siapa saja untuk mengautentikasi menggunakan otentikasi dua faktor; mungkin, hanya orang-orang dengan perangkat / konfigurasi yang sesuai yang dapat berhasil, sehingga Anda akan mendapatkan perilaku yang sama secara efektif.

— larsks
sumber

Saya melakukan sesuatu yang serupa - Saya sshd mengizinkan Chal / Resp dan Kunci Rahasia. Hanya satu akun yang benar-benar dikonfigurasikan untuk tantangan / respons Google-Authenticator - jadi akun lain HARUS menggunakan Kunci Rahasia saja. Saya kira ini sama baiknya dengan yang akan saya dapatkan ...

— Brad

3

Untuk menonaktifkan autentikasi dua faktor bagi pengguna tanpa Google Authenticator dikonfigurasikan, tambahkan nullokopsi di /etc/pam.d/sshd:

auth   required   pam_google_authenticator.so nullok

Untuk detail lebih lanjut lihat: https://github.com/google/google-authenticator-libpam#setting-up-a-user

— Adam
sumber

3

Menggunakan solusi di bawah ini, Modul PAM (google authenticator) dapat dinonaktifkan untuk pengguna tertentu-

1) Buat grup pengguna pada contoh Linux. MFA / PAM akan dinonaktifkan untuk pengguna yang hadir dalam grup baru ini-

sudo groupadd <groupname>

2) Buat Pengguna atau tambahkan pengguna yang ada ke grup- yang baru dibuat

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Edit file /etc/pam.d/sshd dan tambahkan pernyataan di bawah ini untuk melewati modul PAM untuk group- yang baru dibuat

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Pilihan-

Jika diperlukan akses penuh untuk grup baru ini maka tambahkan baris di bawah ini ke file visudo-

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Ketika pengguna akan dibuat dan ditambahkan ke grup baru, MFA akan dilewati untuk pengguna tersebut.

Dirujuk dari - TechManyu Blog

— Abimanyu Garg
sumber