Wir verwenden derzeit eine 2-Faktor-Authentifizierung auf unseren SSH-Servern, daher haben wir „RequiredAuthentications2 publickey,keyboard-interactive“ in unserer sshd_config (publickey für den Schlüssel, keyboard-interactive für den 2-Faktor, der über PAM gehandhabt wird).
Um unseren Entwicklern die Arbeit zu erleichtern, möchten wir die Zwei-Faktor-Anforderung für das SFTP-Subsystem deaktivieren.
Ich habe bereits nach etwas wie „Match subsystem sftp“ gesucht (wie die verfügbare „Match Group“, wo ich anschließend nur „RequiredAuthentications2 publickey“ definieren konnte, aber das scheint nicht möglich zu sein.
Eine weitere Sache, die ich mir angesehen habe, war, PAM zu prüfen, ob es eine Möglichkeit gibt, eine separate Konfiguration für das SFTP-Subsystem zu definieren (das scheint nicht machbar zu sein, der Dienst für PAM ist immer „ssh“) oder ob ich etwas in meiner SSHD-PAM-Konfiguration haben könnte wie „auth [success=1 default=ignore] pam_succeed_if.so quiet subsystem in sftp“
Irgendwelche Tipps? (außer dem Einrichten einer weiteren SSHD-Instanz nur für SFTP mit einer anderen Einstellung)
Antwort1
Anstatt zu versuchen, die Sicherheit mit einer Gruppenregel zu lockern, würde ich die Standardsicherheit verwenden und mit Gruppenregeln verschärfen. Hier ist ein Beispiel, das eine Zwei-Faktor-Authentifizierung für erfordert users, aber nicht für sftp-users.
# Only these groups can connect
AllowGroups users sftp-users
Match Group users
RequiredAuthenticatios2 publickey,keyboard-interactive
Match Group sftp-users
ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
Ich habe dies erfolgreich auf einem Ubuntu-System als Prototyp getestet. Meine Manpage sshd_config hat AuthenticationMethodsanstelle des RequiredAuthenticatios1und RequiredAuthenticatios2in der Manpage des CentOS-Systems angegeben. Die entsprechende Zeile lautete
AuthenticationMethods publickey,password