înregistrare Logare
Puncte:0
avatar Server

SSHD continuă să solicite parola utilizatorului, chiar dacă a fost configurată cu cheie publică, tastatură interactivă

drapel us
user862265

Încerc să configurez sshd pe o instanță VPS și aș dori să am o autentificare care este cheie publică, tastatură interactivă (cheie publică ȘI tastatură interactivă).

Problema este că serverul continuă să solicite parola serveruser la conectare după ce cheia publică a fost trimisă și acceptată. Ar trebui să ceară doar codul 2FA. Mă pot autentifica folosind cheia publică, parola utilizatorului serverului și codul 2FA.

Mai am două setări similare care funcționează grozav, dar îmi amintesc că am avut probleme cu configurarea acestora, cum ar fi folosirea magiei negre în fișiere de configurare bizare.

Am petrecut nenumărate ore încercând să configurez sshd în acest fel pe alte gazde și acum se pare că nu reușesc.

De asemenea, am încercat să compar jurnalele client și server pe o configurație de lucru și aceasta, dar jurnalele sunt aceleași! (Cu excepția IP-urilor, porturile și amprentele digitale)

Jurnalul clientului SSH: https://pastebin.com/P1xsKTwm

/etc/ssh/sshd_config serverului: https://pastebin.com/qSH7GAmR

/etc/pam.d/sshd al serverului: https://pastebin.com/YBKY91Rk

(sshd a fost repornit folosind sudo systemctl reporniți sshd.service)

EDIT: tastatura interactivă nu este doar pentru 2FA

Citiți mai jos comentariile din răspunsul lui mforsetti, nu am înțeles că keyboard-interactive nu era doar pentru 2FA.

Trucul era să editezi /etc/pam.d/sshd fișier pentru a dezactiva autentificarea cu parolă (explicat în postarea și comentariile lui mforsetti de mai jos)

412
1 + 0
Puncte:1
mforsetti avatar Server
drapel tz
mforsetti

Problema este că serverul continuă să solicite parola serveruser la conectare după ce cheia publică a fost trimisă și acceptată.

bine, ai cerut-o în mod special.

AuthenticationMethods cheie publică, tastatură interactivă

Citând sshd_config manual,

Metode de autentificare

Specifică metodele de autentificare care trebuie finalizate cu succes pentru ca unui utilizator să i se acorde acces. ... de un singur șir orice pentru a indica comportamentul implicit de acceptare a oricărei metode de autentificare unică...

... De exemplu, „publickey,parolă publickey,keyboard-interactive” ar cere utilizatorului să finalizeze autentificarea cu cheia publică, urmată fie de parolă, fie de autentificare interactivă de la tastatură. ...

Deci, adăugând AuthenticationMethods cheie publică, tastatură interactivă pentru dumneavoastră sshd_config, înseamnă că te aștepți să ai cheie publică autentificarea finalizată mai întâi, apoi tastatură-interactiv autentificarea finalizată în continuare.

Dacă vă așteptați să vă autentificați doar cu cheie publică, probabil schimbare

AuthenticationMethods cheie publică, tastatură interactivă

la

Cheie publică AuthenticationMethods

sau, dacă activați orice alte metode de autentificare și așteptați ca o singură metodă de autentificare reușită să fie OK, puteți utiliza

AuthenticationMethods orice

Vreau să mă autentific atât cu cheia publică, cât și cu 2FA

Poate doriți să dezactivați comun-auth din configurațiile PAM, ca în majoritatea distribuțiilor Linux/Unix, comun-auth include pam-unix.so sau pam-unix2.so care necesită parola contului.

0 + 6
drapel us
user862265
Multumesc pentru raspuns! :D Poate nu am fost clar mai sus, vreau sa ma autentific atat cu cheia publica cat si cu 2FA dar nu cu parola serveruser. Ceea ce nu înțeleg este că keyboard-interactive îmi tot cere parola serveruser; nu ar trebui să fie corect, este doar 2FA?
0
Răspunde
mforsetti avatar
drapel tz
mforsetti
`keyboard-interactive` este o tastă universală pentru, ei bine, interactivitatea tastaturii, inclusiv parola, PAM, Kerberos etc. încercați să utilizați `AuthenticationMethods publickey,keyboard-interactive:pam` dacă utilizați PAM pentru a vă configura lucrurile 2FA .
0
Răspunde
mforsetti avatar
drapel tz
mforsetti
ați comentat `@include common-auth` în `/etc/pam.d/sshd`?
0
Răspunde
drapel us
user862265
Ohhh... Am crezut că tastatura interactivă este doar pentru 2FA... Comentând linia a făcut exact ceea ce am vrut să fac, multe mulțumesc!
0
Răspunde
mforsetti avatar
drapel tz
mforsetti
a adăugat informații despre `common-auth` în răspuns.
0
Răspunde
drapel us
user862265
Grozav! :D multumesc mult!
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.