允許 Chrooted 使用者進行 Pubkey 或密碼驗證

我管理一個遺留系統，許多客戶端連接到該系統以使用大型科學數據文件。目前，這些使用者通過 SFTP 進行連接，並且由於經驗水平和案例的巨大差異，密碼身份驗證一直是與他們一起工作的最簡單方法。他們中的許多人只是從 Windows 連接並使用 FileZilla 之類的產品的銷售人員，這將造成巨大的支持負擔。

一個新客戶堅持（有理由）使用 SSH 公鑰身份驗證。在不破壞其他 100 多個客戶正在使用的身份驗證策略的情況下，向我的新客戶提供此選項的最佳方式是什麼？

我目前的 sshd_config 如下所示：

Match group sftpusers
       ChrootDirectory /sftp/%u
       X11Forwarding no
       AllowTcpForwarding no
       ForceCommand internal-sftp -l VERBOSE -f LOCAL6

顯然，我必須在文件的更遠處添加一個先前的“PasswordAuthentication yes”行。

伺服器配置為僅允許使用者登錄 SFTP，所有最終使用者都是此“sftpusers”組的成員。

跟進愚蠢的問題：我什至會在哪里為沒有主文件夾的使用者放置 SSH 密鑰？

我什至會在哪里為沒有主文件夾的使用者放置 SSH 密鑰？

有 option AuthorizedKeysFile，它定義了儲存授權密鑰的位置。它預設為主目錄，但並非必須如此。這種配置也很常見：

AuthorizedKeysFile    /etc/ssh/%u/authorized_keys

引用自：https://serverfault.com/questions/733428