Estou tentando configurar o seguinte: Permitir acesso a um servidor sftp do OpenSSH somente por meio de chaves ssh, ou seja, nenhuma autenticação de senha é permitida. Chaves SSH são geradas automaticamente no servidor. O servidor deve ser usado como um servidor de hospedagem na web, com um usuário por site. Apenas o acesso sftp é permitido para esses usuários, sem shell.
Para que novos usuários possam recuperar suas chaves via sftp, permitimos que eles efetuem login pela senha na primeira vez (somente na primeira vez!). A senha é enviada por SMS e cada novo usuário tem um tempo limitado para se conectar e obter as chaves. Após a primeira conexão bem-sucedida, o acesso por senha é desativado e somente o acesso baseado em chave é permitido para esse usuário.
Já configurei todas as etapas deste fluxo de trabalho, exceto uma: como faço para detectar quando um novo usuário se conecta pela primeira vez via sftp? Existe algum método elegante além de analisar os logs?
Posso pensar em mais duas maneiras do que analisar os registros.
Eu escolheria o # 2, mas o # 1 pode ser útil se as coisas ficarem mais complicadas.
Respondendo a minha própria pergunta para apontar outro método que não requer nenhum software extra instalado: o módulo PAM pam_exec. Eu tenho a inspiração de aqui (pergunta semelhante, contexto diferente): No meu caso, faz sentido colocar
auth optional pam_exec.so /path/to/command
no arquivo /etc/pam.d/ssh. Isso é executado somente quando o ssh / sftp faz autenticação de senha, não quando faz autenticação baseada em chave. O comando em / path / to / command pode então
OR
Para excelentes tutoriais sobre o PAM, incluindo os dois módulos que menciono, consulte os links a seguir: