
현재 SSH 서버에서 2단계 인증을 사용하고 있으므로 sshd_config에 "RequiredAuthentications2 publickey,keyboard-interactive"가 있습니다(키의 공개 키, 키보드 인터랙티브는 PAM을 통해 처리되는 2단계의 인증입니다).
개발자의 작업을 더 쉽게 만들기 위해 SFTP 하위 시스템에 대한 2단계 요구 사항을 비활성화하려고 합니다.
나는 이미 "Match subsystem sftp"(나중에 "RequiredAuthentications2 publickey"만 정의할 수 있는 사용 가능한 'Match Group'과 같은)와 같은 것을 검색했지만 불가능해 보입니다.
내가 조사한 또 다른 사항은 PAM을 확인하는 것이었습니다. sftp 하위 시스템에 대해 별도의 구성을 정의할 가능성이 있는지(그것은 불가능한 것 같습니다. pam에 대한 서비스는 항상 'ssh'입니다) 또는 PAM에 뭔가를 가질 수 있는지 여부입니다. 내 sshd pam conf는 "auth [success=1 default=ignore] pam_succeed_if.so sftp의 조용한 하위 시스템"과 같습니다.
힌트가 있나요? (다른 설정으로 sftp에 대해서만 다른 sshd 인스턴스를 설정하는 것 외에)
답변1
그룹 규칙으로 보안을 완화하는 대신 기본 보안을 사용하고 그룹 규칙으로 강화하겠습니다. 다음은 에 대해 2단계 인증이 필요 users
하지만 에는 필요하지 않은 예입니다 sftp-users
.
# Only these groups can connect
AllowGroups users sftp-users
Match Group users
RequiredAuthenticatios2 publickey,keyboard-interactive
Match Group sftp-users
ChrootDirectory %h
X11Forwarding no
AllowTcpForwarding no
CentOS 시스템 매뉴얼 페이지 AuthenticationMethods
대신에 RequiredAuthenticatios1
sshd_config 매뉴얼 페이지가 지정된 Ubuntu 시스템에서 이것을 성공적으로 프로토타입했습니다 . RequiredAuthenticatios2
동등한 라인은
AuthenticationMethods publickey,password