Autenticação SSH de dois fatores apenas no endereço externo

Question

Autenticação SSH de dois fatores apenas no endereço externo

#1 resposta do (11 votos)

9

Eu tenho um servidor Ubuntu com um IP privado, interno, e um IP voltado para o público. Eu quero configurar a autenticação de dois fatores para SSH apenas no lado público. Isso é possível? Eu estava planejando usar o Google Authenticator, mas estou aberto a idéias alternativas também.

ssh two-factor

por Brett F. 26.06.2013 / 19:04

1 resposta

Tags ssh two-factor

Como defino cabeçalhos adequados para JSON no Apache? Postfix master.cf versus main.cf

score 11 · Accepted Answer

Sim, você pode fazer isso com pam_access.so . Esta receita foi retirada do wiki do Google Authenticator :

A useful PAM recipe is to allow skipping two-factor authentication when the connection originates from certain sources. This is already supported by PAM. For example, the pam_access module can be used to check the source against local subnets:
# skip one-time password if logging in from the local network
auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf
auth       required     pam_google_authenticator.so
In this case, access-local.conf looks like:
# only allow from local IP range
+ : ALL : 10.0.0.0/24
+ : ALL : LOCAL
- : ALL : ALL
Thus login attempts from 10.0.0.0/24 will not require two-factor authentication.