É possível configurar ChallengeResponseAuthentication apenas para usuários SSH selecionados?
Estou usando o AWS AMI e configuro o MFA usando google-authenticator package. Está funcionando como esperado.
A minha principal preocupação é que, para qualquer falha grave (por exemplo, perder meu telefone), levará a uma perda total do jumphost. Eu estava pensando se eu poderia criar um usuário simples, configurar chaves, etc. em outra instância micro, e depois parar essa instância durante horários comuns.
Apreciará algumas orientações úteis. Existem outras maneiras de alcançar o mesmo objetivo?
- ATUALIZAÇÃO -
Veja link para instruções passo a passo
Para uma boa medida, eu também adicionei uma linha adicional ao segundo sshd-config:
AllowUsers a-user-name
Não. O ChallengeResponseAuthentication pode ser definido apenas globalmente e não é uma opção válida em um bloco Match , que pode ser usado para alterar configurações para usuários diferentes.
A única alternativa que posso imaginar é executar um segundo daemon sshd em uma porta diferente com um arquivo de configuração diferente, que aceitaria apenas um único usuário ( AllowUsers option).
Tags ssh