我有一个私人,内部,IP和面向公众的IP的Ubuntu服务器。 我想在公共方面为SSH设置双因素身份validation。 这可能吗? 我打算使用Google身份validation器,但也可以select其他想法。
是的,你可以用pam_access.so来做到这pam_access.so 。 这个配方是从Google身份validation器的wiki中获得的 :
一个有用的PAM配方是当连接源自某些源时允许跳过双因素authentication。 这已经被PAM支持。 例如,可以使用pam_access模块来检查针对本地子网的源:
# skip one-time password if logging in from the local network auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth required pam_google_authenticator.so在这种情况下,access-local.conf如下所示:
# only allow from local IP range + : ALL : 10.0.0.0/24 + : ALL : LOCAL - : ALL : ALL因此来自10.0.0.0/24的login尝试将不需要双因素authentication。