sshd:如何为特定用户启用PAM身份验证

Modified on: Mon, 19 Aug 2019 01:20:02 +0800

我正在使用sshd,并允许使用公钥认证登录。

我想允许选择用户使用PAM双因素身份验证模块登录。

我是否可以为特定用户提供PAM双因素身份验证?

出于同样的原因 - 我只想为特定帐户启用密码身份验证。我希望我的SSH守护进程拒绝密码身份验证尝试阻止潜在的黑客认为我不接受密码身份验证 - 除非有人知道我严密保护的秘密帐户,密码已启用。我希望在我的SSH客户端不允许我使用密钥或双因素身份验证的情况下执行此操作。

作者:CivFan,Brad

最佳答案

您可以使用pam_listfile模块处理此问题。创建一个类似于

/etc/pam.d/sshd文件

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

这将只允许/etc/authusers中列出的人员使用双因素模块(在我们的示例中为secureid)进行身份验证。我实际上没有测试过这种配置,但理论是合理的。

您可以通过允许任何人使用双因素身份验证进行身份验证来简化操作;据推测,只有具有适当设备/配置的人才能成功,所以你会得到有效的相同行为。

作者:larsks

相关问答

添加新评论