Restringir a un usuario a la autenticación SSH con una clave

Question 1

En Solaris 10, siempre que utilice la fuente de "archivos" para la base de datos de contraseñas en /etc/nsswitch.conf, puede evitar que un usuario inicie sesión con una contraseña asegurándose de que la cuenta no tenga una contraseña válida en el archivo /etc/archivo sombra. Debido a que el mecanismo para hacer esto inserta el texto literal "NP" en el campo de contraseña, se conoce como "NPing the account".

El comando para hacer esto para una cuenta en particular es passwd -N <account>. Utilice siempre el comando passwd para este propósito en lugar de editar el archivo de sombra directamente.

Tenga cuidado de no bloquear la cuenta ( passwd -l), ya que eso también impide el uso de claves para iniciar sesión a través de ssh.

Si luego decide utilizar alguna forma de autenticación de dos factores, como SecurID u otra forma de autenticación RADIUS (además de SSH PKI), deberá implementarla a través de PAM. En este caso, la contraseña ingresada debe pasarse al siguiente proveedor si falla la coincidencia con /etc/passwd, como sucederá en este caso.

Answer

En Solaris 10, siempre que utilice la fuente de "archivos" para la base de datos de contraseñas en /etc/nsswitch.conf, puede evitar que un usuario inicie sesión con una contraseña asegurándose de que la cuenta no tenga una contraseña válida en el archivo /etc/archivo sombra. Debido a que el mecanismo para hacer esto inserta el texto literal "NP" en el campo de contraseña, se conoce como "NPing the account".

El comando para hacer esto para una cuenta en particular es passwd -N <account>. Utilice siempre el comando passwd para este propósito en lugar de editar el archivo de sombra directamente.

Tenga cuidado de no bloquear la cuenta ( passwd -l), ya que eso también impide el uso de claves para iniciar sesión a través de ssh.

Si luego decide utilizar alguna forma de autenticación de dos factores, como SecurID u otra forma de autenticación RADIUS (además de SSH PKI), deberá implementarla a través de PAM. En este caso, la contraseña ingresada debe pasarse al siguiente proveedor si falla la coincidencia con /etc/passwd, como sucederá en este caso.

Question 2

Disculpe si mi respuesta puede ser irrelevante, pero su pregunta no me queda clara. ¡Lo intentaré!

Desde OpenSSH 5.x y posteriores, puedes hacer coincidir ciertos usuarios (Coincidir usuario) y grupos (Grupo de partido) en el archivo de configuración. Simplemente agregaría algo como esto a misshd_config:

Coincidir usuario rajkumar
ContraseñaAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication sí

Probablemente podría lograr el mismo resultado utilizando un módulo de autenticación conectable adecuado, con PAM implementado en Solaris.

¡Buena suerte!

Answer

Disculpe si mi respuesta puede ser irrelevante, pero su pregunta no me queda clara. ¡Lo intentaré!

Desde OpenSSH 5.x y posteriores, puedes hacer coincidir ciertos usuarios (Coincidir usuario) y grupos (Grupo de partido) en el archivo de configuración. Simplemente agregaría algo como esto a misshd_config:

Coincidir usuario rajkumar
ContraseñaAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication sí

Probablemente podría lograr el mismo resultado utilizando un módulo de autenticación conectable adecuado, con PAM implementado en Solaris.

¡Buena suerte!

Restringir a un usuario a la autenticación SSH con una clave

Respuesta1

Respuesta2

información relacionada