ปิดใช้งานโมดูล PAM สำหรับกลุ่ม

ฉันเพิ่งเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยโดยใช้ google-authenticator บนเซิร์ฟเวอร์ SSH ของฉัน อย่างไรก็ตามตอนนี้ฉันกำลังประสบปัญหา:

ฉันมีกลุ่มผู้ใช้ที่แตกต่างกันบนเซิร์ฟเวอร์ที่ฉันใช้สำหรับ SFTP แต่กลุ่มนั้นไม่สามารถเข้าสู่ระบบได้อีกต่อไปเนื่องจาก 2FA ไม่ได้ตั้งค่าสำหรับผู้ใช้ในกลุ่ม เป็นไปได้หรือไม่ที่จะปิดการใช้งานโมดูล google-authenticator สำหรับกลุ่มนั้น? การเปิดใช้งานสำหรับผู้ใช้ในกลุ่มไม่ใช่ตัวเลือกเนื่องจากผู้ใช้หลายคนจะใช้บัญชีนี้

PS: ฉันใช้ openssh-server

คุณสามารถใช้pam_succeed_ifโมดูล (ดูหน้าคู่มือ) ก่อนที่pam_google_authenticatorจะข้ามส่วนนี้สำหรับกลุ่มของคุณ:

# the other authentication methods, such as @include common-auth
auth [success=1 default=ignore] pam_succeed_if.so user ingroup group
auth required pam_google_authenticator ...

ไคลเอนต์ SFTP บางตัวสามารถจัดการ 2FA ได้ ตัวอย่างเช่นฉันใช้ 2FA กับ FileZilla และ WinSCP และทำงานได้ ฉันยังมีการตั้งค่าการตรวจสอบสิทธิ์ ssh-key และใช้งานได้กับ 2FA

อย่างไรก็ตามคำถามของคุณน่าสนใจและฉันทำแบบสอบถามสั้น ๆ ฉันพบคำตอบนี้

ดังนั้นจึงเป็นไปได้ (และง่าย) ในการรันแยกอินสแตนซ์ ssh ฉันทดสอบแล้ว

1. ทำสำเนาsshd_configไฟล์แยกต่างหาก

   $ sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_pwd
   $ sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_2fa
   

2. แก้ไขconfigไฟล์ใหม่เหล่านี้ หนึ่งในสิ่งที่คุณต้องเปลี่ยนคือพอร์ต shh ตามตัวอย่าง:

   2.a) sshd_config_pwdบรรทัดเฉพาะคือ:

   Port 1022
   ...
   PasswordAuthentication yes
   ChallengeResponseAuthentication no
   UsePAM no
   

   2.b) sshd_config_2faบรรทัดเฉพาะคือ:

   Port 2022
   ...
   PasswordAuthentication no
   ChallengeResponseAuthentication yes
   UsePAM yes
   

3. เปิดพอร์ตที่จำเป็นลงในไฟร์วอลล์ ตามตัวอย่าง:

   $ sudo ufw limit 1022
   $ sudo ufw limit 2022
   

4. เรียกใช้อินสแตนซ์ ssh ใหม่:

   $ sudo /usr/sbin/sshd -f /etc/ssh/sshd_config_pwd
   $ sudo /usr/sbin/sshd -f /etc/ssh/sshd_config_2fa
   

แค่นั้นแหละ.

ต่อไปนี้จะทำให้ Google 2FA บังคับใช้สำหรับผู้ใช้ทุกคน
ยกเว้นผู้ใช้ที่เป็นของsudoและผู้ดูแลระบบกลุ่ม
(หมายถึงถ้าผู้ใช้จาก sudo กลุ่มหรือผู้ดูแลระบบไม่ได้มีการกำหนดค่า 2FA ก็จะรับรองความถูกต้องเขา / เธออยู่บนพื้นฐานกุญแจสาธารณะของพวกเขา):

ไฟล์: /etc/pam.d/sshd

auth required pam_google_authenticator.so nullok
auth optional pam_succeed_if.so user ingroup sudo
auth optional pam_succeed_if.so user ingroup admin

ไฟล์: /etc/ssh/sshd_config

AuthenticationMethods publickey,keyboard-interactive
UsePAM yes
ChallengeResponseAuthentication yes

ผล:

          |  Belongs to sudo or  |  Has 2FA Already Setup      |  Authentication Result
          |  admin group         |  in ~/.google_authenticator | 
----------+----------------------+-----------------------------+------------------------
User A    |          NO          |       NO                    | DENIED LOGIN UNTIL 2FA IS SETUP
User B    |          YES         |       NO                    | CAN LOGIN (PRIVATE/PUBLIC KEY USED)

User C    |          NO          |       YES                   | CAN LOGIN (PRIVATE/PUBLIC KEY AND 2FA USED)

User D    |          YES         |       YES                   | CAN LOGIN (PRIVATE/PUBLIC KEY AND 2FA USED)

ตามเอกสาร README.md ของ Google Authenticator :

nullok

PAM ต้องการความสำเร็จอย่างน้อยหนึ่งคำตอบจากโมดูลและ nullok ทำให้โมดูลนี้บอกว่า IGNORE ซึ่งหมายความว่าหากใช้ตัวเลือกนี้อย่างน้อยหนึ่งโมดูลอื่นจะต้องมีความสำเร็จดังกล่าว วิธีหนึ่งในการทำเช่นนี้คือการเพิ่มการรับรองความถูกต้อง pam_permit.so ที่ส่วนท้ายของการกำหนดค่า PAM

สิ่งนี้ทำให้การใช้nullokที่นี่ปลอดภัย