sshd: como habilitar a autenticação PAM para usuários específicos em

7

Estou usando o sshd e permito logins com autenticação de chave pública.

Eu quero permitir que usuários selecionados façam login com um módulo de autenticação de dois fatores do PAM.

Existe alguma maneira de permitir a autenticação de dois fatores do PAM para um usuário específico?

Da mesma forma, só desejo ativar a autenticação de senha para contas específicas. Eu quero que meu daemon de SSH rejeite as tentativas de autenticação de senhas para impedir hackers a pensar que não aceitarei autenticação de senha - exceto no caso em que alguém conhece minha conta secreta strongmente protegida, que é senha habilitada. Eu quero fazer isso para casos em que meus clientes SSH não me permitem fazer qualquer chave secreta ou autenticação de dois fatores.

    
por Brad 14.01.2011 / 20:23

3 respostas

8

Você provavelmente poderia lidar com isso com o módulo pam_listfile . Crie um arquivo /etc/pam.d/sshd parecido com:

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

Isso permitiria que apenas as pessoas listadas em /etc/authusers pudessem se autenticar com um módulo de dois fatores (no nosso caso, secureid). Eu não testei realmente essa configuração, mas a teoria é sólida.

Você poderia simplificar permitindo que qualquer pessoa autentique usando a autenticação de dois fatores; presumivelmente, apenas as pessoas com os dispositivos / configurações apropriados seriam capazes de ter sucesso, então você obteria efetivamente o mesmo comportamento.

    
por 14.01.2011 / 21:19
2

Para desativar a autenticação de dois fatores para usuários sem o Google Authenticator nullok em /etc/pam.d/sshd :

auth   required   pam_google_authenticator.so nullok

Para mais detalhes, consulte: link

    
por 18.02.2016 / 15:18
2

Usando a solução abaixo, o Módulo PAM (google authenticator) pode ser desabilitado para usuários específicos -

1) Crie um grupo de usuários na instância do Linux. O MFA / PAM será desativado para usuários presentes neste novo grupo -

sudo groupadd <groupname>

2) Criar usuário ou adicionar usuário existente ao grupo recém-criado -

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Edite o arquivo /etc/pam.d/sshd e adicione a instrução abaixo para pular o módulo PAM para o grupo recém-criado -

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Opcional -

Se o acesso completo for necessário para este novo grupo, adicione abaixo da linha no arquivo visudo -

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Quando um usuário for criado e adicionado ao novo grupo, o MFA será ignorado para esses usuários.

Referenciado de Blog do TechManyu

    
por 04.07.2018 / 02:43

Tags