Combinação de autenticação de chave SSH e autenticação de dois fatores

Navegue suas respostas
7

Eu queria saber se é possível realizar o seguinte, tudo ao mesmo tempo:

  • Desativar logins raiz
  • Ativar login SSH para usuário pessoal, somente via chaves SSH
  • Ativar login SSH para usuários sem privilégios, com autenticação de senha e somente autenticação de dois fatores

Usando o bloco Match em sshd_config , consegui configurá-lo para que, em geral, PasswordAuthentication fosse desativado, exceto para o usuário não privilegiado (vamos chamá-lo de peon ). Foram necessárias chaves SSH para efetuar login no usuário pessoal (que possui recursos sudo).

No entanto, quando tento ativar a autenticação de dois fatores ( pam_google_authenticator ), tenho que ativar ChallengeResponseAuthentication , que parece não funcionar em Match , e, portanto, está girando autenticação de senha de volta para todos.

Existe uma maneira de conseguir isso? Eu não sou muito bom com esse tipo de coisa, então explicações detalhadas seriam realmente apreciadas.

Obrigado!

    
por Brandon 02.03.2014 / 21:02

1 resposta

4

Versões recentes de openssh incluem a opção AuthenticationMethods :

Debian backported openssh-6.2 um tempo atrás , então eu espero que isso esteja disponível em Raspbian também.

Specifies the authentication methods that must be successfully completed for a user to be granted access.

Você pode ter o bloco principal do seu sshd_config com ChallengeResponseAuthentication ativado: 

ChallengeResponseAuthentication yes
PasswordAuthentication no
PermitRootLogin no

e, em seguida, use AuthenticationMethods nos blocos Match (use Group matching em vez de User matching para facilitar a escalabilidade): 

Match Group personal
  AuthenticationMethods publickey

Match Group peon
  PasswordAuthentication yes
  AuthenticationMethods publickey,keyboard-interactive

Além disso, você pode usar pam_succeed_if(8) para acionar a autenticação de dois fatores somente se um grupo correspondente exige: 

 auth required pam_succeed_if.so quiet user ingroup peon
    
por 02.03.2014 / 21:17

Tags

Rede muito alta em instância ec2 ldap_add nenhum tal objeto (32) corresponde dn dc = domain dc = com