Autentificare SSH: (cheie publică sau parolă) + cod de autentificare Google

Karol

07.05.2023, 13:14

Eu folosesc Debian bullseye. Încerc să configurez SSH două tipuri de autentificare:

parola + cod de la Google Authenticator (dacă utilizatorul l-a stabilit, opțiunea „nullok”)
cheie publică + cod de la Google Authenticator (dacă utilizatorul îl setează, opțiunea „nullok”).

Tipul #1 funcționează pentru mine. În tipul #2 am cheie publică + parolă (nu o expresie de acces cheie publică) + cod de la GA. Am adăugat această linie la /etc/ssh/sshd_config

AuthenticationMethods cheie publică, tastatură interactivă tastatură interactivă

Aș dori ca utilizatorul să nu mi se ceară parola dacă a fost furnizată cheia. Mai exact, cum să ocoliți cererea pam_unix.so dacă a fost furnizată cheia publică?

Există vreo modalitate de a realiza ceea ce vreau pe o singură mașină? Mulțumesc anticipat.

0 + 0

fisiere jurnal

pam

google-authenticator

autentificare cu doi factori

Erhard Czving

07.05.2023, 14:19

Explicația de tipul #2 nu este clară pentru mine. Se pare că cheia SSH are o frază de acces setată sau ce parolă vrei să spui? Aveți o configurație personalizată SSH sau PAM care necesită o parolă chiar și după o autentificare SSH cu succes?

Răspunde

Karol

07.05.2023, 14:32

Mulțumiri. Mi-am editat întrebarea și am adăugat câteva informații pentru clarificare.

Răspunde

Puncte:0

Server

Karol

07.05.2023, 20:20

Probabil am rezolvat-o.

Proiectul PAM_2FA al CERN conține modulul pam minor: pam_ssh_user_auth.so. Acest modul poate spune PAM dacă au existat autentificări sshd de succes anterior, cum ar fi cheia publică (PAM_SUCCESS).Așa că am făcut următoarele modificări în:

/etc/ssh/sshd_config:

PasswordAuthentication nr
ChallengeResponseAuthentication da 
Folosește PAM da 
AuthenticationMethods keyboard-interactive:pam publickey,keyboard-interactive:pam

/etc/pam.d/sshd:

auth [success=2 ignore=ignore default=die] pam_ssh_user_auth.so
auth [success=1 default=ignore] pam_unix.so nullok
auth requisite pam_deny.so
auth [success=ok ignore=ignore default=bad] pam_google_authenticator.so nullok
auth required pam_permit.so

Permite să omiteți solicitarea parolei atunci când a fost dată cheia publică.

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: SSH authentication: (public key xor password) + google authenticator code

TH: การรับรองความถูกต้อง SSH: (รหัสสาธารณะ xor รหัสผ่าน) + รหัสตัวตรวจสอบความถูกต้องของ Google

RO: Autentificare SSH: (cheie publică sau parolă) + cod de autentificare Google

RU: Аутентификация SSH: (открытый ключ xor пароль) + код аутентификатора Google

VI: Xác thực SSH: (mật khẩu xor khóa công khai) + mã xác thực google

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.