Ich habe eine Warnmeldung, die einem Benutzer angezeigt wird, nachdem er seinen Benutzernamen eingegeben hat, um sich bei unseren Linux-Servern anzumelden. Ich möchte diese Meldung nur bei Kennwortauthentifizierungen anzeigen und nicht, wenn Schlüssel verwendet werden. Sie sollte nur einem Benutzer angezeigt werden, der sich bei einem Host anmeldet, und nicht, wenn er per SSH von einem Host zu einem anderen wechselt (auf unseren Hosts sind alle Schlüssel eingerichtet, sodass wir per SSH von einem Host zu einem anderen wechseln können, ohne Kennwörter eingeben zu müssen).
Derzeit habe ich eine Zeile für Banner in der Datei /etc/ssh/sshd_config, die auf eine Textdatei mit der Warnmeldung verweist. Banner scheint keine weiteren Konfigurationsoptionen zu haben, daher frage ich mich, ob es eine Möglichkeit gibt, dies mit PAM oder einem anderen Mechanismus zu tun. Danke.
Antwort1
Ja, Sie können das pam_echoPlugin verwenden:
auth required pam_unix.so
auth optional pam_echo.so file=/etc/ssh/password_banner.txt
Dies sollte nach der Kennwortanmeldung die pam_echo-Ausgabe erzeugen.
Sehenhttp://www.linux-pam.org/Linux-PAM-html/sag-pam_echo.htmlfür Dokumente.
Bearbeiten: Sie müssen außerdem sicherstellen, dass Sie UsePAM yesin Ihrem sshd_configdas Passwort durch „Auth“ ersetzt haben.
Antwort2
Ich möchte diese Meldung nur bei Kennwortauthentifizierungen anzeigen und nicht, wenn Schlüssel verwendet werden. Sie sollte nur einem Benutzer angezeigt werden, der sich bei einem Host anmeldet, und nicht, wenn er per SSH von einem Host zu einem anderen wechselt (auf unseren Hosts sind alle Schlüssel eingerichtet, sodass wir per SSH von einem Host zum anderen wechseln können, ohne Kennwörter eingeben zu müssen).
Sprechen Sie überBenutzerTasten ~/.ssh/authorized_keysoderGastgeberSchlüssel /etc/ssh/ssh_known_hosts?
Derzeit habe ich eine Zeile für Banner in der Datei /etc/ssh/sshd_config, die auf eine Textdatei verweist, die die Warnmeldung enthält.
Bannerwird angezeigtVorjegliche Authentifizierung erfolgt.
Ich frage mich, ob es eine Möglichkeit gibt, dies mit PAM oder einem anderen Mechanismus zu tun?
Sie können versuchen, den Remote-Hostnamen (Quell-Hostnamen) zu überprüfen: Überprüfen Sie, pam_accessob der Benutzer von außerhalb Ihres Netzwerks kommt:
Sitzung [Erfolg=1 Standard=Ignorieren] pam_access.so accessfile=/etc/pam_access_localnet.conf Sitzung optional pam_echo.so Datei=/etc/notice
/etc/pam_access_localnet.conf:
+: ALLE: 192.168.201.0/24 - : ALLES ALLES