sshd: come abilitare l'autenticazione PAM per utenti specifici in

9

Sto usando sshd e consento gli accessi con autenticazione con chiave pubblica.

Voglio consentire a determinati utenti di accedere con un modulo di autenticazione a due fattori PAM.

Esiste un modo per consentire l'autenticazione a due fattori PAM per un utente specifico?

Allo stesso modo, voglio solo abilitare l'autenticazione con password per account specifici. Voglio che il mio demone SSH respinga i tentativi di autenticazione con password per contrastare gli aspiranti hacker nel pensare che non accetterò l'autenticazione con password - tranne nel caso in cui qualcuno conosca il mio account segreto fortemente custodito, che è abilitato con password. Voglio fare questo per i casi in cui i miei client SSH non mi permettono di fare la chiave segreta o l'autenticazione a due fattori.

linux  ssh  pam 
chiodo senza testa
fonte
Quale prodotto a due fattori?
Scott Pack
google -enticator
Brad

Risposte:

8

Probabilmente potresti gestirlo con il pam_listfilemodulo. Crea un /etc/pam.d/sshdfile simile a:

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

Ciò consentirebbe solo alle persone elencate nella /etc/authuserspossibilità di autenticarsi con un modulo a due fattori (nel nostro caso, secureid). Non ho ancora testato questa configurazione, ma la teoria è valida.

Potresti renderlo più semplice consentendo a chiunque di autenticarsi utilizzando l'autenticazione a due fattori; presumibilmente, solo quelle persone con i dispositivi / la configurazione appropriati sarebbero in grado di avere successo, quindi otterresti effettivamente lo stesso comportamento.

larsks
fonte
Sto facendo qualcosa di simile - ho sshd consentire Chal / Resp e Secret Key. Solo un account è effettivamente configurato per la sfida / risposta di Google Authenticator, quindi gli altri account DEVONO utilizzare solo la chiave segreta. Immagino che sia buono come ho intenzione di ottenere ...
Brad
3

Utilizzando la soluzione di seguito, il modulo PAM (autenticatore di Google) può essere disabilitato per utenti specifici-

1) Creare un gruppo di utenti sull'istanza di Linux. MFA / PAM saranno disabilitati per gli utenti presenti in questo nuovo gruppo-

sudo groupadd <groupname>

2) Crea utente o aggiungi utente esistente al gruppo appena creato-

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Modifica il file /etc/pam.d/sshd e aggiungi la seguente istruzione per saltare il modulo PAM per il gruppo appena creato-

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Opzionale-

Se è richiesto l'accesso completo per questo nuovo gruppo, aggiungi la riga sotto al file visudo-

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Quando un utente verrà creato e aggiunto al nuovo gruppo, MFA verrà ignorato per quegli utenti.

Citato da - TechManyu Blog

Abhimanyu Garg
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.