Diferente “RequiredAuthentications2” para o subsistema sshd e sftp

6

Atualmente estamos usando uma autenticação 2factor em nossos servidores SSH, então temos "Publickey de RequiredAuthentications2, interativo com teclado" em nosso sshd_config (publickey para a chave, keyboard-interactive é para o 2factor que é tratado via PAM)

Para facilitar as coisas para nossos desenvolvedores, queremos desabilitar o requisito 2factor para o subsistema sftp.

Eu já pesquisei algo como "Match subsystem sftp" (como o disponível "Match Group", onde eu poderia definir depois apenas "RequiredAuthentications2 publickey", mas parece que isso não é possível.

Outra coisa que eu tive uma olhada foi verificar o PAM, se existe a possibilidade de definir uma configuração separada para o subsistema sftp (parece que isso não é possível, o serviço para pam é sempre 'ssh') ou se eu puder tem algo no meu sshd pam conf como "auth [sucesso = 1 padrão = ignorar] pam_succeed_if.so subsistema silencioso no sftp"

Alguma dica? (ao lado de configurar outra instância do sshd apenas para o sftp com uma configuração diferente)

    
por derfloh 09.05.2014 / 15:04

1 resposta

1

Em vez de tentar afrouxar a segurança com uma regra de grupo, eu usaria a segurança padrão e apertaria as regras do grupo. Aqui está um exemplo que requer autenticação 2factor para users , mas não sftp-users .

# Only these groups can connect
AllowGroups users sftp-users

Match Group users
    RequiredAuthenticatios2 publickey,keyboard-interactive

Match Group sftp-users 
    ChrootDirectory %h
    X11Forwarding no
    AllowTcpForwarding no

Eu fiz o protótipo disso com sucesso em um sistema Ubuntu, minha página man do sshd_config especificou AuthenticationMethods em vez da página de manual do sistema% deRequiredAuthenticatios1 e RequiredAuthenticatios2 no CentOS. A linha equivalente foi

    AuthenticationMethods publickey,password
    
por 08.07.2014 / 00:19

Tags