我正在使用sshd,并允许用公钥authenticationlogin。
我想允许select用户使用PAM双因素authentication模块login。
有没有什么办法可以允许特定用户使用PAM双因素身份validation?
同样的道理 – 我只想为特定帐户启用密码validation。 我希望我的SSH守护进程拒绝密码authentication,试图阻止黑客入侵,认为我不接受密码authentication – 除了有人知道我严密保护的秘密帐户,这是密码启用的情况。 我想这样做的情况下,我的SSH客户端不会让我做任何密钥或双因素身份validation。
你可以用pam_listfile模块来处理这个。 创build一个如下所示的/etc/pam.d/sshd文件:
auth requisite pam_listfile.so item=user sense=allow file=/etc/authusers auth sufficient pam_securid.so auth required pam_deny.so
这将只允许在/etc/authusers列出的人员使用双因素模块进行身份validation(在我们的情况下为secureid)。 我没有真正testing过这个configuration,但是理论是正确的。
通过允许任何人使用双因素身份validation进行身份validation,可以使其更简单。 据推测,只有那些具有适当设备/configuration的人才能成功,所以你会得到有效的相同的行为。
为了在没有configurationGoogle Authenticator的情况下为用户禁用双因素validation,请在/etc/pam.d/sshd添加nullok选项:
auth required pam_google_authenticator.so nullok
有关详情,请参阅: https : //github.com/google/google-authenticator-libpam#setting-up-a-user