Essayer d'obtenir SSH avec une clé publique (pas de mot de passe) + authentificateur Google travaillant sur Ubuntu 14.04.1

J'utilise Ubuntu 14.04.1 (avec OpenSSH 6.6 et libpam-google -hentator 20130529-2).

J'essaie de configurer des connexions SSH où la clé publique s'authentifie (sans mot de passe) et un utilisateur est invité à entrer un code de l'authentificateur de Google.

Suivre / adapter ces instructions m'a donné une invite de mot de passe ainsi qu'une invite Google Auth:

• https://scottlinux.com/2013/06/02/use-google-authenticator-for-two-factor-ssh-authentication-in-linux/
• http://www.howtogeek.com/121650/how-to-secure-ssh-with-google-authenticators-two-factor-authentication/
• https://wiki.archlinux.org/index.php/Google_Authenticator et https://wiki.archlinux.org/index.php/SSH_keys#Two-factor_authentication_and_public_keys
• https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-two-factor-authentication

J'ai installé le package, modifié mes fichiers /etc/ssh/sshd_configet/etc/pam.d/ssh

Dans /etc/ssh/sshd_config:

ChallengeResponseAuthentication yes
AuthenticationMethods  publickey,keyboard-interactive
UsePAM yes

et en bas de /etc/pam.d/ssh:

auth required pam_google_authenticator.so nullok # (I want to give everyone a chance to set up their 2FA before removing "nullok")

Je sais que PAM dépend de l'ordre, mais l'est sshd_configaussi?

Qu'est-ce que je fais mal? Toute aide serait appréciée.

Je l'ai bien fait, d'abord:

apt-get install libpam-google-authenticator

Dans /etc/pam.d/sshdj'ai changé / ajouté les lignes suivantes (en haut):

# @include common-auth
auth required pam_google_authenticator.so

Et dans /etc/ssh/sshd_config:

ChallengeResponseAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive
PasswordAuthentication no

Fonctionne bien et je reçois maintenant une invite "Code de vérification" après l'authentification avec la clé publique. Je ne sais pas comment j'autoriserais l'authentification avec mot de passe + jeton OU clé + jeton, car j'ai maintenant supprimé la méthode d'authentification par mot de passe de PAM.

Utilisation d'Ubuntu 14.04.1 LTS (GNU / Linux 3.8.0-19-x86_64 générique) avec ssh -v: OpenSSH_6.6.1p1 Ubuntu-2ubuntu2, OpenSSL 1.0.1f 6 janvier 2014

J'ai finalement pu faire fonctionner cela en plaçant auth [success=done new_authtok_reqd=done default=die] pam_google_authenticator.so nulloken haut de /etc/pam.d/sshd.

Selon la page de manuel pam.d :

• success=done signifie que si Google Authenticator se déconnecte, aucune autre authentification ne sera effectuée, ce qui signifie aucune invite de mot de passe supplémentaire.
• default=die signifie que si Google Authenticator rejette la tentative de connexion, l'authentification échouera immédiatement, ignorant l'invite de mot de passe.

Il en [success=done new_authtok_reqd=done default=die]est de même d'un mélange entre les valeurs de contrôle sufficientet requisite, car nous voulons un comportement des deux: en cas de succès, se terminer immédiatement (suffisant), et en cas d'échec, se terminer également immédiatement (requis).

Notez que l' nullokargument de pam_google_authenticator.so signifie que si ~/.google_authenticatoraucun fichier n'est trouvé pour un utilisateur, l'authentification par clé publique se déroule normalement. C'est utile si je veux verrouiller uniquement un sous-ensemble de mes comptes avec 2FA.

La réponse de Linus Kendall devrait fonctionner sur les anciens systèmes, mais sur les machines Linux plus récentes, c'est problématique; sur mon serveur web basé sur linux arch, cette configuration a pour résultat que pam demande mon code d'authentification et mon mot de passe après avoir reçu ma clé ssh (c'est-à-dire que j'ai besoin des 3).

Une solution plus simple qui empêche ce problème et qui devrait fonctionner sur chaque système consiste à modifier l'entrée en /etc/pam.d/sshd:

auth sufficient pam_google_authenticator.so

Et puis pour apporter les mêmes modifications à `` / etc / ssh / sshd` que Linus a mentionné:

ChallengeResponseAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive
PasswordAuthentication no

Cela devrait vous demander votre jeton d'authentification après que le serveur a accepté votre clé publique. Il ne devrait pas vous demander votre mot de passe.

En passant, si vous souhaitez avoir un compte utilisateur sftp, vous devrez probablement contourner l'authentificateur google pour le faire fonctionner. Voici une suggestion sur la façon de le faire en toute sécurité en utilisant une prison sftp. Dans etc/ssh/sshd_config:

Subsystem sftp internal-sftp
Match User ftp-user
  PasswordAuthentication yes
  AuthenticationMethods password
  ChrootDirectory /path/to/ftp/dir
  ForceCommand internal-sftp

Vous devez faire les autorisations sur / chemin / vers / ftp / dir écriture racine uniquement (par exemple chown root:root /path/to/ftp/dir, chmod 755 /path/to/ftp/dir. Tous les parents , au- dessus de ce répertoire a également besoin d' autorisations sécurisées. La façon dont je le fais habituellement c'est en faisant le répertoire chroot /home/shared/user, la création d' un répertoire là-bas (par exemple «données»), puis monter le répertoire que je veux partager comme ceci:sudo mount -o bind /path/to/ftp/dir /home/shared/user/data

Si vous suivez toutes ces étapes, vous aurez une clé publique + un identifiant google authentifiant pour vos utilisateurs ssh et un compte sftp protégé par mot de passe pour le transfert de données.