sshd: comment activer l'authentification PAM pour des utilisateurs spécifiques sous

9

J'utilise sshd et autorise les connexions avec l'authentification par clé publique.

Je souhaite autoriser certains utilisateurs à se connecter avec un module d'authentification à deux facteurs PAM.

Existe-t-il un moyen d'autoriser l'authentification à deux facteurs PAM pour un utilisateur spécifique?

De la même manière - je souhaite uniquement activer l'authentification par mot de passe pour des comptes spécifiques. Je veux que mon démon SSH rejette les tentatives d'authentification par mot de passe pour empêcher les pirates potentiels de penser que je n'accepterai pas l'authentification par mot de passe - sauf dans le cas où quelqu'un connaît mon compte secret fortement gardé, qui est activé par mot de passe. Je veux le faire pour les cas où mes clients SSH ne me laisseront pas faire de clé secrète ou d'authentification à deux facteurs.

linux ssh pam Brad
la source
Quel produit à deux facteurs?
Scott Pack
google-authentifier
Brad

Réponses:

8

Vous pourriez probablement gérer cela avec le pam_listfilemodule. Créez un /etc/pam.d/sshdfichier qui ressemble à quelque chose comme:

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

Cela permettrait uniquement aux personnes répertoriées dans /etc/authusersla capacité de s'authentifier avec un module à deux facteurs (dans notre cas, secureid). Je n'ai pas réellement testé cette configuration, mais la théorie est valable.

Vous pourriez le simplifier en permettant à n'importe qui de s'authentifier à l'aide de l'authentification à deux facteurs; vraisemblablement, seules les personnes possédant les périphériques / la configuration appropriés pourraient réussir, vous obtiendriez donc effectivement le même comportement.

larsks
la source
Je fais quelque chose de similaire - j'ai sshd autoriser Chal / Resp et Secret Key. Un seul compte est réellement configuré pour le défi / réponse Google Authenticator - les autres comptes DOIVENT donc utiliser la clé secrète uniquement. Je suppose que c'est aussi bon que je vais obtenir ...
Brad
3

En utilisant la solution ci-dessous, le module PAM (authentificateur Google) peut être désactivé pour des utilisateurs spécifiques-

1) Créez un groupe d'utilisateurs sur l'instance Linux. MFA / PAM sera désactivé pour les utilisateurs présents dans ce nouveau groupe.

sudo groupadd <groupname>

2) Créer un utilisateur ou ajouter un utilisateur existant au groupe nouvellement créé

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) Modifiez le fichier /etc/pam.d/sshd et ajoutez l'instruction ci-dessous pour ignorer le module PAM pour le groupe nouvellement créé.

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Optionnel-

Si un accès complet est requis pour ce nouveau groupe, ajoutez la ligne ci-dessous au fichier visudo.

%<groupname>ALL=(ALL)       NOPASSWD: ALL

Lorsqu'un utilisateur sera créé et ajouté au nouveau groupe, MFA sera ignoré pour ces utilisateurs.

Référencé depuis - TechManyu Blog

Abhimanyu Garg
la source