Combinazione di chiave chiave SSH e authentication a due fattori

Mi chiedevo se sia ansible realizzare i seguenti, tutti allo stesso tempo:

  • Distriggers gli account di accesso principale
  • Abilita l'accesso SSH per l'utente personale, solo tramite i tasti SSH
  • Abilita l'accesso SSH per utenti non privilegiati, con l' authentication della password e l' authentication a due fattori

Utilizzando il block di Match in sshd_config sono stato in grado di impostare questo in modo che in genere PasswordAuthentication stato distriggersto, tranne per l'utente non privilegiato (lo consente di chiamarlo peon ). Erano necessarie chiavi SSH per accedere all'utente personale (che ha capacità di sudo).

  • DH GEX gruppo fuori gamma
  • Attiva prompt di password per l'ambiente di ripristino di Windows
  • Come posso get l'AWS EC2 Ubuntu Server da stato di "arresto"?
  • L'triggerszione di UFW interrompe il funzionamento del mio client di posta elettronica (imap e smtp) anche se è consentito?
  • Gestire centralmente gli accessi a molte macchine Linux
  • Eseguire uno script locale su un server remoto usando ssh senza wherersi preoccupare delle virgolette
  • Tuttavia, quando cerco di abilitare l'authentication a due fattori ( pam_google_authenticator ), devo triggersre ChallengeResponseAuthentication che sembra non funzionare in un block di Match e quindi ripristina l'authentication della password per tutti.

    C'è un modo per farlo? Non sono eccessivamente grande con questo tipo di cose, quindi spiegazioni dettagliate sarebbero veramente apprezzate.

    Grazie!

  • SSH: authentication due fattori
  • freeradius due fattori senza concatenazione di fattori
  • in cerca di open source 2 server di authentication dei fattori
  • Cercando di get SSH con chiave pubblica (nessuna password) + autenticatore Google funzionante su Ubuntu 14.04.1
  • Mantenere i pulsanti SSH privati ​​in sicurezza
  • Implementazione di una forma di port bussare + Fattore telefonico = 2 Fattore authorization per RDP?
  • One Solution collect form web for “Combinazione di chiave chiave SSH e authentication a due fattori”

    Le versioni recenti di openssh includono l'opzione AuthenticationMethods :

    Debian ha portto back openssh-6.2 un po 'di tempo , quindi mi aspetto che questo sia disponibile anche in Raspbian.

    Specifica i methods di authentication che devono essere completati con successo per consentire all'utente di accedere.

    Puoi avere il block principale del tuo sshd_config con ChallengeResponseAuthentication abilitata:

     ChallengeResponseAuthentication yes PasswordAuthentication no PermitRootLogin no 

    e quindi utilizzare AuthenticationMethods nei blocchi Match (utilizzare la corrispondenza di Group invece di corrispondenza User per facilitare la scalabilità):

     Match Group personal AuthenticationMethods publickey Match Group peon PasswordAuthentication yes AuthenticationMethods publickey,keyboard-interactive 

    Inoltre, è ansible utilizzare pam_succeed_if(8) per triggersre l'authentication a due fattori solo se un gruppo di corrispondenza richiede:

      auth required pam_succeed_if.so quiet user ingroup peon 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.