sshd: So aktivieren Sie die PAM-Authentifizierung für bestimmte Benutzer unter

Ich verwende sshd und erlaube Anmeldungen mit Authentifizierung mit öffentlichem Schlüssel.

Ich möchte ausgewählten Benutzern ermöglichen, sich mit einem PAM-Zwei-Faktor-Authentifizierungsmodul anzumelden.

Gibt es eine Möglichkeit, die PAM-Zwei-Faktor-Authentifizierung für einen bestimmten Benutzer zuzulassen?

Aus dem gleichen Grund möchte ich die Kennwortauthentifizierung nur für bestimmte Konten aktivieren. Ich mag , dass mein SSH - Daemon die Passwort - Authentifizierung Versuche zu vereiteln Möchtegern-Hacker zu denken , zu verwerfen , dass ich nicht Passwort - Authentifizierung akzeptieren - außer für den Fall, dass jemand mein schwer bewachtes geheimes Konto weiß, das ist Kennwort aktiviert. Ich möchte dies für Fälle tun, in denen meine SSH-Clients weder einen geheimen Schlüssel noch eine Zwei-Faktor-Authentifizierung zulassen.

Sie könnten dies wahrscheinlich mit dem pam_listfileModul behandeln. Erstellen Sie eine /etc/pam.d/sshdDatei, die ungefähr so ​​aussieht:

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

Dies würde nur Personen erlauben, die in /etc/authusersder Fähigkeit aufgeführt sind, sich mit einem Zwei-Faktor-Modul (in unserem Fall Secureid) zu authentifizieren. Ich habe diese Konfiguration noch nicht getestet, aber die Theorie ist solide.

Sie können es einfacher machen, indem Sie jedem erlauben , sich mithilfe der Zwei-Faktor-Authentifizierung zu authentifizieren. Vermutlich können nur die Personen mit den entsprechenden Geräten / Konfigurationen erfolgreich sein, sodass Sie effektiv das gleiche Verhalten erhalten.

Mit der folgenden Lösung kann das PAM-Modul (Google Authenticator) für bestimmte Benutzer deaktiviert werden.

1) Erstellen Sie eine Benutzergruppe auf der Linux-Instanz. MFA / PAM wird für Benutzer in dieser neuen Gruppe deaktiviert.

sudo groupadd <groupname>

2) Benutzer erstellen oder vorhandenen Benutzer zu neu erstellter Gruppe hinzufügen

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Bearbeiten Sie die Datei /etc/pam.d/sshd und fügen Sie die folgende Anweisung hinzu, um das PAM-Modul für die neu erstellte Gruppe zu überspringen.

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Optional-

Wenn für diese neue Gruppe vollständiger Zugriff erforderlich ist, fügen Sie die folgende Zeile zur visudo-Datei hinzu.

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Wenn ein Benutzer erstellt und der neuen Gruppe hinzugefügt wird, wird MFA für diese Benutzer übersprungen.

Referenziert von - TechManyu Blog

Fügen Sie die Option hinzu, um die Zwei-Faktor- Authentifizierung für Benutzer ohne konfigurierten Google Authenticator zu deaktivieren :nullok/etc/pam.d/sshd

auth   required   pam_google_authenticator.so nullok

Weitere Informationen finden Sie unter: https://github.com/google/google-authenticator-libpam#setting-up-a-user