Em vez de tentar afrouxar a segurança com uma regra de grupo, eu usaria a segurança padrão e apertaria as regras do grupo. Aqui está um exemplo que requer autenticação 2factor para users
, mas não sftp-users
.
# Only these groups can connect
AllowGroups users sftp-users
Match Group users
RequiredAuthenticatios2 publickey,keyboard-interactive
Match Group sftp-users
ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
Eu fiz o protótipo disso com sucesso em um sistema Ubuntu, minha página man do sshd_config especificou AuthenticationMethods
em vez da página de manual do sistema% deRequiredAuthenticatios1
e RequiredAuthenticatios2
no CentOS. A linha equivalente foi
AuthenticationMethods publickey,password