sshd: নির্দিষ্ট ব্যবহারকারীদের জন্য পিএএম প্রমাণীকরণ কীভাবে সক্ষম করবেন

আমি sshd ব্যবহার করছি, এবং পাবলিক কী প্রমাণীকরণ সহ লগইনগুলিতে অনুমতি দিচ্ছি।

আমি নির্বাচিত ব্যবহারকারীদের একটি পিএএম দ্বি-গুণক প্রমাণীকরণ মডিউল দিয়ে লগ ইন করার অনুমতি দিতে চাই।

কোনও নির্দিষ্ট ব্যবহারকারীর জন্য আমি পিএএম দ্বি-গুণক প্রমাণীকরণের অনুমতি দিতে পারি কি এমন উপায় আছে?

একই টোকেন দ্বারা - আমি কেবল নির্দিষ্ট অ্যাকাউন্টগুলির জন্য পাসওয়ার্ড প্রমাণীকরণ সক্ষম করতে চাই। কেস যা কেউ আমার কঠোর পাহারার গোপন অ্যাকাউন্ট জানে, যার জন্য ব্যতীত - আমি আমার, SSH ব্যর্থ করার পাসওয়ার্ড প্রমাণীকরণ প্রচেষ্টা প্রত্যাখ্যান করার ডেমন চিন্তা যে আমি পাসওয়ার্ড প্রমাণীকরণ গ্রহণ করবে না বা হ্যাকার হবু চান হয় পাসওয়ার্ড সক্ষম করা হয়েছে। আমি যেসব ক্ষেত্রে আমার এসএসএইচ ক্লায়েন্টরা আমাকে কোনও গোপন কী বা দ্বি-গুণক প্রমাণীকরণ করতে দেয় না সেগুলির জন্য এটি করতে চাই।

আপনি সম্ভবত এটি pam_listfileমডিউল দিয়ে পরিচালনা করতে পারেন । /etc/pam.d/sshdএমন একটি ফাইল তৈরি করুন যা দেখে মনে হচ্ছে:

auth requisite  pam_listfile.so item=user sense=allow file=/etc/authusers
auth sufficient pam_securid.so
auth required   pam_deny.so

এটি কেবলমাত্র /etc/authusersদ্বি-ফ্যাক্টর মডিউল (আমাদের ক্ষেত্রে সুরক্ষিত) দিয়ে প্রমাণীকরণের যোগ্যতায় তালিকাবদ্ধ ব্যক্তিদের অনুমতি দেবে । আমি আসলে এই কনফিগারেশনটি পরীক্ষা করে দেখিনি, তবে তত্ত্বটি সঠিক।

আপনি দুটি ফ্যাক্টর প্রমাণীকরণ ব্যবহার করে কাউকে প্রমাণীকরণের অনুমতি দিয়ে এটি আরও সহজ করে তুলতে পারেন ; সম্ভবত, উপযুক্ত ডিভাইস / কনফিগারেশন সহ কেবলমাত্র সেই ব্যক্তিরাই সফল হতে পারবেন, সুতরাং আপনি কার্যকরভাবে একই আচরণ পেতে চাই d

গুগল প্রমাণীকরণকারী কনফিগার না করে ব্যবহারকারীদের জন্য দ্বি-গুণক প্রমাণকে অক্ষম করতে , এতে nullokবিকল্পটি যুক্ত করুন /etc/pam.d/sshd:

auth   required   pam_google_authenticator.so nullok

আরও তথ্যের জন্য দেখুন: https://github.com/google/google-authenticator-libpam#setting-up-a-user

নীচের সমাধানটি ব্যবহার করে, পিএএম মডিউল (গুগল প্রমাণীকরণকারী) নির্দিষ্ট ব্যবহারকারীদের জন্য অক্ষম হতে পারে-

1) লিনাক্স উদাহরণে একটি ব্যবহারকারী গ্রুপ তৈরি করুন। এই নতুন গ্রুপে উপস্থিত ব্যবহারকারীদের জন্য এমএফএ / প্যাম অক্ষম করা হবে-

sudo groupadd <groupname>

2) ব্যবহারকারী তৈরি করুন বা বিদ্যমান ব্যবহারকারীকে নতুন তৈরি হওয়া গ্রুপে যুক্ত করুন-

sudo useradd <username>
sudo usermod -a -G <groupname> <username>

3) /etc/pam.d/sshd ফাইল সম্পাদনা করুন এবং সদ্য নির্মিত গ্রুপের জন্য পিএএম মডিউলটি এড়াতে নীচের বিবৃতিটি যুক্ত করুন-

auth [success=done default=ignore] pam_succeed_if.so user ingroup <groupname>

Optional-

যদি এই নতুন গোষ্ঠীর জন্য সম্পূর্ণ অ্যাক্সেসের প্রয়োজন হয় তবে ভিজুডো ফাইলটিতে নীচে লাইন যুক্ত করুন-

%<groupname>ALL=(ALL)       NOPASSWD: ALL

যখন কোনও ব্যবহারকারী তৈরি করা হবে এবং নতুন গোষ্ঠীতে যুক্ত করা হবে তখন এমএফএ FA ব্যবহারকারীদের জন্য এড়ানো হবে।

থেকে উল্লেখ করা হয়েছে - টেকমন্যু ব্লগ