Я хотел бы потребовать от каждого пользователя использовать MFA с Google Authenticator. Каждый раз, когда я добавляю нового пользователя, я хочу разрешить ему входить в систему с помощью своего ключа SSH только один раз, и при входе требовать от него создания секретного ключа, запустив настройку Gauth в своем .bash_login. Это создаст ~/.google_authenticatorв его домашнем каталоге. Я следовалэти инструкции(Ctrl+F "Другой метод принудительного создания") для настройки my sshd_configи pam.d. Вот они, с удаленными комментариями:
/etc/ssh/sshd_config
X11Forwarding yes
PrintMotd no
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
AllowUsers me him
PermitRootLogin no
MaxStartups 15
UsePAM yes
ChallengeResponseAuthentication yes
PasswordAuthentication no
AuthenticationMethods publickey,keyboard-interactive
/etc/pam.d/sshd
# Standard Un*x authentication.
#@include common-auth
account required pam_nologin.so
# Standard Un*x authorization.
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required pam_loginuid.so
session optional pam_keyinit.so force revoke
@include common-session
session optional pam_motd.so motd=/run/motd.dynamic
session optional pam_motd.so noupdate
session optional pam_mail.so standard noenv # [1]
session required pam_limits.so
session required pam_env.so # [1]
session required pam_env.so user_readenv=1 envfile=/etc/default/locale
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
# Standard Un*x password updating.
@include common-password
auth required pam_google_authenticator.so nullok
Насколько я понимаю, "nullok" в последней строке означает, что если секретный ключ не настроен, то для удовлетворения этого требования аутентификации ничего не требуется. Но когда я пытаюсь войти в систему как пользователь, у которого не настроен секретный ключ, я получаю что-то вроде следующего:
$ ssh him@my_device
[email protected]: Permission denied (keyboard-interactive).
После .google_authenticatorсоздания файла вход должен пройти нормально. Как разрешить такой вход, если .google_authenticatorего нет?
Кстати, это Ubuntu 18.04 LTS.
решение1
Я заметил обновление в README проекта, в котором добавлена информация об этой nullokопции.
PAM requires at least one `SUCCESS` answer from a module, and `nullok`
causes this module to say `IGNORE`. This means that if this option is
used at least one other module must have said `SUCCESS`. One way to do
this is to add `auth required pam_permit.so` to the end of the PAM
config.