Desativar o módulo PAM para o grupo

9

Eu recentemente habilitei a autenticação de dois fatores usando o google-authenticator no meu servidor SSH. No entanto, agora estou enfrentando um problema:

Eu tenho um grupo diferente de usuários no meu servidor que estou usando para SFTP, mas esse grupo não pode mais fazer o login, pois o 2FA não está configurado para os usuários no grupo. É possível desabilitar o módulo do google-authenticator para esse grupo? Ativá-lo para os usuários do grupo não é uma opção porque vários usuários usarão essa conta.

PS: eu uso openssh-server

    
por Z3r0byte 27.12.2016 / 11:23

2 respostas

12

Você pode usar o módulo pam_succeed_if (veja a página de manual) antes do pam_google_authenticator pular esta parte para o seu grupo:

# the other authentication methods, such as @include common-auth
auth [success=1 default=ignore] pam_succeed_if.so user ingroup group
auth required pam_google_authenticator ...
    
por Jakuje 27.12.2016 / 11:43
2

Alguns clientes SFTP podem lidar com 2FA. Por exemplo, estou usando o 2FA com o FileZilla e o WinSCP e eles funcionam. Também configurei a autenticação ssh-key e ela funciona junto com o 2FA.

No entanto, sua pergunta é interessante e fiz uma pequena pesquisa. Eu encontrei esta resposta .

Portanto, é possível (e fácil) executar instâncias ssh separadas. Eu já testei isso.

  1. Faça cópias separadas do arquivo sshd_config .

    $ sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_pwd
    $ sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_2fa
    
  2. Edite esses novos arquivos config . Uma das coisas que você deve mudar é a porta shh. De acordo com o exemplo:

    2.a)% linhas específicas desshd_config_pwd são:

    Port 1022
    ...
    PasswordAuthentication yes
    ChallengeResponseAuthentication no
    UsePAM no
    

    2.b)% linhas específicas desshd_config_2fa são:

    Port 2022
    ...
    PasswordAuthentication no
    ChallengeResponseAuthentication yes
    UsePAM yes
    
  3. Abra as portas necessárias no firewall. De acordo com o exemplo:

    $ sudo ufw limit 1022
    $ sudo ufw limit 2022
    
  4. Execute as novas instâncias do ssh:

    $ sudo /usr/sbin/sshd -f /etc/ssh/sshd_config_pwd
    $ sudo /usr/sbin/sshd -f /etc/ssh/sshd_config_2fa
    

É isso.

    
por pa4080 27.12.2016 / 12:11