У меня есть сервер Ubuntu с частным, внутренним, IP и общедоступным IP. Я хочу настроить двухфакторную аутентификацию для SSH только на публичной стороне. Это возможно? Я планировал использовать Google Authenticator, но также открыт для альтернативных идей.
Ответы:
Да, вы можете сделать это с pam_access.so. Этот рецепт был взят из вики для Google Authenticator :
Полезный рецепт PAM - пропустить двухфакторную аутентификацию, когда соединение происходит из определенных источников. Это уже поддерживается PAM. Например, модуль pam_access может использоваться для проверки источника по локальным подсетям:
# skip one-time password if logging in from the local network auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth required pam_google_authenticator.soВ этом случае access-local.conf выглядит так:
# only allow from local IP range + : ALL : 10.0.0.0/24 + : ALL : LOCAL - : ALL : ALLТаким образом, попытки входа в систему с 10.0.0.0/24 не требуют двухфакторной аутентификации.
AuthenticationMethods publickey,keyboard-interactiveв моем /etc/ssh/sshd_config. Поэтому я изменил следующее, чтобы исправить это:auth [success=done default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth optional pam_google_authenticator.so nullok