Restringir um usuário à autenticação SSH com uma chave

Question 1

No Solaris 10, desde que você esteja usando a fonte de "arquivos" para o banco de dados de senhas em /etc/nsswitch.conf, você pode impedir que um usuário efetue login com uma senha, garantindo que a conta não tenha uma senha válida no /etc/arquivo shadow. Como o mecanismo para fazer isso insere o texto literal “NP” no campo de senha, isso é conhecido como “NPing the account”.

O comando para fazer isso para uma conta específica é passwd -N <account>. Sempre use o comando passwd para essa finalidade, em vez de editar o arquivo shadow diretamente.

Tenha cuidado para não bloquear a conta ( passwd -l), pois isso também impede o uso de chaves para fazer login via ssh.

Se mais tarde você decidir usar alguma forma de autenticação de dois fatores, como SecurID ou outra forma de autenticação RADIUS (além do SSH PKI), você implementaria isso via PAM. Nesse caso, a senha digitada deverá ser repassada ao próximo provedor se a correspondência com /etc/passwd falhar, como acontecerá neste caso.

Answer

No Solaris 10, desde que você esteja usando a fonte de "arquivos" para o banco de dados de senhas em /etc/nsswitch.conf, você pode impedir que um usuário efetue login com uma senha, garantindo que a conta não tenha uma senha válida no /etc/arquivo shadow. Como o mecanismo para fazer isso insere o texto literal “NP” no campo de senha, isso é conhecido como “NPing the account”.

O comando para fazer isso para uma conta específica é passwd -N <account>. Sempre use o comando passwd para essa finalidade, em vez de editar o arquivo shadow diretamente.

Tenha cuidado para não bloquear a conta ( passwd -l), pois isso também impede o uso de chaves para fazer login via ssh.

Se mais tarde você decidir usar alguma forma de autenticação de dois fatores, como SecurID ou outra forma de autenticação RADIUS (além do SSH PKI), você implementaria isso via PAM. Nesse caso, a senha digitada deverá ser repassada ao próximo provedor se a correspondência com /etc/passwd falhar, como acontecerá neste caso.

Question 2

Desculpe-me se minha resposta for irrelevante, mas sua pergunta não está clara para mim. Vou tentar!

Desde o OpenSSH 5.x e posterior, você pode combinar determinados usuários (Corresponder usuário) e grupos (Grupo de correspondência) no arquivo de configuração. Eu simplesmente adicionaria algo assim ao meusshd_config:

Corresponder usuário rajkumar
PasswordAuthentication não
ChallengeResponseAuthentication não
PubkeyAuthentication sim

Você provavelmente poderia obter o mesmo resultado usando um Módulo de Autenticação Plugável adequado, com PAM implementado no Solaris.

Boa sorte!

Answer

Desculpe-me se minha resposta for irrelevante, mas sua pergunta não está clara para mim. Vou tentar!

Desde o OpenSSH 5.x e posterior, você pode combinar determinados usuários (Corresponder usuário) e grupos (Grupo de correspondência) no arquivo de configuração. Eu simplesmente adicionaria algo assim ao meusshd_config:

Corresponder usuário rajkumar
PasswordAuthentication não
ChallengeResponseAuthentication não
PubkeyAuthentication sim

Você provavelmente poderia obter o mesmo resultado usando um Módulo de Autenticação Plugável adequado, com PAM implementado no Solaris.

Boa sorte!

Restringir um usuário à autenticação SSH com uma chave

Responder1

Responder2

informação relacionada