J'ai un serveur Ubuntu avec une IP privée, interne, IP et publique. Je souhaite configurer l'authentification à deux facteurs pour SSH uniquement du côté public. Est-ce possible? J'avais l'intention d'utiliser Google Authenticator, mais je suis également ouvert à d'autres idées.
Réponses:
Oui, vous pouvez le faire avec pam_access.so. Cette recette est tirée du wiki de Google Authenticator :
Une recette PAM utile consiste à permettre d'ignorer l'authentification à deux facteurs lorsque la connexion provient de certaines sources. Ceci est déjà pris en charge par PAM. Par exemple, le module pam_access peut être utilisé pour vérifier la source par rapport aux sous-réseaux locaux:
# skip one-time password if logging in from the local network auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth required pam_google_authenticator.soDans ce cas, access-local.conf ressemble à:
# only allow from local IP range + : ALL : 10.0.0.0/24 + : ALL : LOCAL - : ALL : ALLAinsi, les tentatives de connexion à partir de 10.0.0.0/24 ne nécessiteront pas d'authentification à deux facteurs.
AuthenticationMethods publickey,keyboard-interactivedans mon /etc/ssh/sshd_config. J'ai donc changé ce qui suit pour le corriger:auth [success=done default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth optional pam_google_authenticator.so nullok