J'ai donc ce petit yubikey et je veux ajouter une couche de sécurité supplémentaire lors de l'authentification des sessions ssh. Côté serveur, j'ai déjà désactivé l'authentification par mot de passe et n'autorise l'utilisation des clés ssh que lors de la connexion.
Le problème est qu'après avoir configuré sshd et PAM pour yubikey auth, sshd ne nécessite toujours qu'une clé ssh, on ne me demande jamais de fournir une réponse de yubikey.
Comment est-ce que j'ai besoin à la fois de la clé ssh et d' un yubikey?
(ubuntu 14.04 - trusty)
/etc/pam.d/common-auth
:
auth required pam_yubico.so mode=client try_first_pass id=<id> key=<secret>
auth [success=1 default=ignore] pam_unix.so nullok_secure try_first_pass
# here's the fallback if no module succeeds
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth optional pam_cap.so
# end of pam-auth-update config
/etc/ssh/sshd_config
:
...
PasswordAuthentication no
ChallengeResponseAuthentication yes
UsePAM yes