Combinazione di chiave chiave SSH e authentication a due fattori

Mi chiedevo se sia ansible realizzare i seguenti, tutti allo stesso tempo:

  • Distriggers gli account di accesso principale
  • Abilita l'accesso SSH per l'utente personale, solo tramite i tasti SSH
  • Abilita l'accesso SSH per utenti non privilegiati, con l' authentication della password e l' authentication a due fattori

Utilizzando il block di Match in sshd_config sono stato in grado di impostare questo in modo che in genere PasswordAuthentication stato distriggersto, tranne per l'utente non privilegiato (lo consente di chiamarlo peon ). Erano necessarie chiavi SSH per accedere all'utente personale (che ha capacità di sudo).

  • Accesso limitato SSH per il recupero del log
  • Importnza di vi / vim per sysadmin
  • nome utente e password per rsync nello script
  • Squeeze Debian: il login SSH funziona bene, il login SFTP restituisce un errore di password non riuscito
  • la session ssh non intertriggers non termina, il process sshd attende per sempre dopo l'output di un script
  • È ansible get OpenSSH per registrare la chiave pubblica utilizzata nell'authentication?
  • Tuttavia, quando cerco di abilitare l'authentication a due fattori ( pam_google_authenticator ), devo triggersre ChallengeResponseAuthentication che sembra non funzionare in un block di Match e quindi ripristina l'authentication della password per tutti.

    C'è un modo per farlo? Non sono eccessivamente grande con questo tipo di cose, quindi spiegazioni dettagliate sarebbero veramente apprezzate.

    Grazie!

  • SSH: authentication due fattori
  • Autenticazione due fattori SSH solo per l'indirizzo esterno
  • PAM, RADIUS, autenticatore di Google e due fattori Auth
  • Mantenere i pulsanti SSH privati ​​in sicurezza
  • freeradius due fattori senza concatenazione di fattori
  • Implementazione di una forma di port bussare + Fattore telefonico = 2 Fattore authorization per RDP?
  • One Solution collect form web for “Combinazione di chiave chiave SSH e authentication a due fattori”

    Le versioni recenti di openssh includono l'opzione AuthenticationMethods :

    Debian ha portto back openssh-6.2 un po 'di tempo , quindi mi aspetto che questo sia disponibile anche in Raspbian.

    Specifica i methods di authentication che devono essere completati con successo per consentire all'utente di accedere.

    Puoi avere il block principale del tuo sshd_config con ChallengeResponseAuthentication abilitata:

     ChallengeResponseAuthentication yes PasswordAuthentication no PermitRootLogin no 

    e quindi utilizzare AuthenticationMethods nei blocchi Match (utilizzare la corrispondenza di Group invece di corrispondenza User per facilitare la scalabilità):

     Match Group personal AuthenticationMethods publickey Match Group peon PasswordAuthentication yes AuthenticationMethods publickey,keyboard-interactive 

    Inoltre, è ansible utilizzare pam_succeed_if(8) per triggersre l'authentication a due fattori solo se un gruppo di corrispondenza richiede:

      auth required pam_succeed_if.so quiet user ingroup peon 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.