मेरे पास एक निजी, आंतरिक, आईपी और एक सार्वजनिक-सामना करने वाले आईपी दोनों के साथ एक उबंटू सर्वर है। मैं एसएसएच के लिए टू-फैक्टर ऑथेंटिकेशन सेट करना चाहता हूं। क्या यह संभव है? मैं Google प्रमाणक का उपयोग करने की योजना बना रहा था, लेकिन साथ ही साथ वैकल्पिक विचारों के लिए भी खुला हूँ।
जवाबों:
हां, आप ऐसा कर सकते हैं pam_access.so। यह नुस्खा Google प्रमाणक के लिए विकि से लिया गया था :
एक उपयोगी पीएएम नुस्खा दो-कारक प्रमाणीकरण को छोड़ देने की अनुमति देता है जब कनेक्शन कुछ स्रोतों से उत्पन्न होता है। यह पहले से ही PAM द्वारा समर्थित है। उदाहरण के लिए, pam_access मॉड्यूल का उपयोग स्थानीय सबनेट के विरुद्ध स्रोत की जाँच के लिए किया जा सकता है:
# skip one-time password if logging in from the local network auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth required pam_google_authenticator.soइस स्थिति में, access-local.conf ऐसा दिखता है:
# only allow from local IP range + : ALL : 10.0.0.0/24 + : ALL : LOCAL - : ALL : ALLइस प्रकार 10.0.0.0/24 से लॉगिन प्रयासों को दो-कारक प्रमाणीकरण की आवश्यकता नहीं होगी।
AuthenticationMethods publickey,keyboard-interactiveअपने में इस्तेमाल करता था /etc/ssh/sshd_config। इसलिए मैंने इसे ठीक करने के लिए निम्नलिखित को बदल दिया:auth [success=done default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth optional pam_google_authenticator.so nullok