Ho un server Ubuntu con un IP privato, interno, IP e un indirizzo pubblico. Voglio impostare l'autenticazione a due fattori per SSH solo sul lato pubblico. È possibile? Avevo intenzione di utilizzare Google Authenticator, ma sono aperto anche a idee alternative.
Risposte:
Sì, puoi farlo con pam_access.so. Questa ricetta è stata presa dal wiki per Google Authenticator :
Una ricetta PAM utile è quella di consentire di saltare l'autenticazione a due fattori quando la connessione proviene da determinate fonti. Questo è già supportato da PAM. Ad esempio, il modulo pam_access può essere utilizzato per verificare l'origine rispetto alle sottoreti locali:
# skip one-time password if logging in from the local network auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth required pam_google_authenticator.soIn questo caso, access-local.conf è simile a:
# only allow from local IP range + : ALL : 10.0.0.0/24 + : ALL : LOCAL - : ALL : ALLPertanto, i tentativi di accesso da 10.0.0.0/24 non richiedono l'autenticazione a due fattori.
AuthenticationMethods publickey,keyboard-interactivenel mio /etc/ssh/sshd_config. Quindi ho modificato quanto segue per risolverlo:auth [success=done default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth optional pam_google_authenticator.so nullok