Linux

sshd:如何為特定使用者啟用 PAM 身份驗證

  • July 4, 2018

我正在使用 sshd,並允許使用公鑰身份驗證登錄。

我想允許選擇的使用者使用 PAM 雙因素身份驗證模組登錄。

有什麼方法可以允許特定使用者的 PAM 雙重身份驗證?

出於同樣的原因 - 我只想為特定帳戶啟用密碼身份驗證。我希望我的 SSH 守護程序拒絕密碼身份驗證嘗試,以阻止潛在的黑客認為我不會接受密碼身份驗證 - 除非有人知道我的嚴密保護的秘密帳戶,該帳戶啟用了密碼。我想在我的 SSH 客戶端不允許我執行密鑰或雙因素身份驗證的情況下執行此操作。

您可能可以使用pam_listfile模組處理此問題。創建一個/etc/pam.d/sshd類似於以下內容的文件:

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

這將只允許列出/etc/authusers的人員使用雙因素模組(在我們的例子中為secureid)進行身份驗證。我還沒有實際測試過這種配置,但理論是合理的。

您可以通過允許任何人使用兩因素身份驗證進行身份驗證來使其更簡單;據推測,只有那些擁有適當設備/配置的人才能成功,所以你會得到有效的相同行為。

引用自:https://serverfault.com/questions/222637