¿Por qué estos usuarios no necesitan la autenticación de dos factores PAM para iniciar sesión?

tag-icon tag-icon ssh login authentication pam two-factor-authentication
¿Por qué estos usuarios no necesitan la autenticación de dos factores PAM para iniciar sesión?

Heredé un sistema de un colega fallecido. Configuró la autenticación de dos factores en el sistema, excepto para el usuario rooty ftpupload.

Sin embargo, existe este usuario en particular que tiene acceso SSH pero no necesita autenticación de dos factores. ¡Este usuario puede iniciar sesión con nombre de usuario y contraseña!

Noto que configuró que todos los usuarios del grupo disable2farequieren autenticación de dos factores. Solo veo los siguientes usuarios en este grupo:

$ getent group disable2fa
disable2fa:x:2003:root,publicftpupload

Revisé el archivo PAM ( sudo nano /etc/pam.d/sshd) y veo lo siguiente:

# PAM configuration for the Secure Shell service

# Standard Un*x authentication.
@include common-auth

# Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so

# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account  required     pam_access.so

# Standard Un*x authorization.
@include common-account

# SELinux needs to be the first session rule.  This ensures that any
# lingering context has been cleared.  Without this it is possible that a
# module could execute code in the wrong domain.
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so close

# Set the loginuid process attribute.
session    required     pam_loginuid.so

# Create a new session keyring.
session    optional     pam_keyinit.so force revoke

# Standard Un*x session setup and teardown.
@include common-session

# Print the message of the day upon successful login.
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session    optional     pam_motd.so  motd=/run/motd.dynamic
session    optional     pam_motd.so noupdate

# Print the status of the user's mailbox upon successful login.
session    optional     pam_mail.so standard noenv # [1]

# Set up user limits from /etc/security/limits.conf.
session    required     pam_limits.so

# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
session    required     pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
session    required     pam_env.so user_readenv=1 envfile=/etc/default/locale

# SELinux needs to intervene at login time to ensure that the process starts
# in the proper default security context.  Only sessions which are intended
# to run in the user's context should be run after this.
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so open

# Standard Un*x password updating.
@include common-password
auth [success=done default=ignore] pam_succeed_if.so user ingroup disable2fa
auth required pam_google_authenticator.so nullok

¿Hay algún otro lugar que deba verificar? ¿Alguien puede ayudar? ¡Gracias!

Respuesta1

Eso es lo que hace esta línea:

auth [success=done default=ignore] pam_succeed_if.so user ingroup disable2fa

Deman pam.d:

ok
   this tells PAM that the administrator thinks this return code should contribute
   directly to the return code of the full stack of modules. In other words, if the
   former state of the stack would lead to a return of PAM_SUCCESS, the module's return
   code will override this value. Note, if the former state of the stack holds some value
   that is indicative of a modules failure, this 'ok' value will not be used to override
   that value.

done
   equivalent to ok with the side effect of terminating the module stack and PAM
   immediately returning to the application.

Básicamente success=donesignifica que si este módulo tiene éxito, no es necesario verificar nada más, por lo que pam_google_authenticator.sose omite el siguiente si este módulo tiene éxito, y este módulo simplemente verifica siel usuario es el grupodisable2fa:

user ingroup group
   User is in given group.

Respuesta2

Probablemente puedas desconfigurar las líneas "user ingroup enable2fa" en tus archivos de configuración PAM y reemplazarlas con la configuración que está documentada en:

https://codeberg.org/kpiq/Tech-Space/wiki/2FA-Authenticator-app-%28any-compatible-with-Google-Authenticator%29-setup-for-Ubuntu-Jammy

De esa manera, solo a los usuarios que hayan configurado sus tokens de Google Authenticator (archivo ~/.google_authenticator) se les solicitará un código de verificación. La configuración del "grupo de usuarios" fue un signo de interrogación para mí hasta que encontré el argumento nullok en la documentación.

¡Funciona a las mil maravillas!

información relacionada