我正在使用libpam-google-authenticator进行两步SSH身份validation,这非常棒,并为我的服务器增加了另一级别的安全性。 我的问题:是否可以禁用某些地址这个。 即当我从我的开发平台(静态IP)或从本地服务器连接。
这将是伟大的,因为我可以有安全的两步validation访问通过我的服务器互联网连接,但保持在可信赖的主机上的用户名和密码轻松login。
您可以为本地/可信主机设置基于密钥的身份validation,并且在其他地方使用两个因子google-authenticator。
我使用google-authenticator模块以及来自外部主机的所有sshlogin。 但是,对于可信任的本地主机,我设置了基于密钥的身份validation,绕过了谷歌身份validation,所以它更容易login…更不用说,本地主机上的所有自动化脚本(使用rsync,scp等)都无法进行交互式validation码。
要设置特定主机使用基于密钥的身份validation,首先将公钥添加到远程sshd服务器上的〜/ .ssh / authorized_keys,并将以下内容添加到sshd_config(假设您的本地信任主机位于192.168.1.0),然后重新启动sshd 。
Match Address 192.168.1.0/24 PasswordAuthentication no