我正在使用sshd,并允许使用公钥认证登录.
有什么办法可以让特定用户使用PAM双因素身份验证吗?
出于同样的原因 – 我只想为特定帐户启用密码身份验证.我希望我的SSH守护进程拒绝密码身份验证尝试阻止潜在的黑客认为我不接受密码身份验证 – 除非有人知道我的密切保护的秘密帐户,这是密码启用的情况.我希望在我的SSH客户端不允许我使用密钥或双因素身份验证的情况下执行此操作.
解决方法
您可以使用pam_listfile模块处理此问题.创建一个类似于/etc/pam.d/sshd的文件:
auth requisite pam_listfile.so item=user sense=allow file=/etc/authusers auth sufficient pam_securid.so auth required pam_deny.so
这将只允许/ etc / authusers中列出的人员使用双因素模块(在我们的示例中为secureid)进行身份验证.我实际上没有测试过这种配置,但理论是合理的.
您可以通过允许任何人使用双因素身份验证进行身份验证来简化操作;据推测,只有具有适当设备/配置的人才能够成功,因此您可以获得有效的相同行为.
