নির্দিষ্ট ব্যবহারকারীদের জন্য এসএসএইচ পাবলিক কী প্রমাণীকরণকে বাধ্য করুন

10

অন্যান্য ব্যবহারকারীদের পাসওয়ার্ড দিয়ে লগইন করার সময় নির্দিষ্ট ব্যবহারকারীদের কী কী সর্বজনীন কী দিয়ে লগইন করতে বাধ্য করা সম্ভব? যেহেতু পাবলিক কী প্রমাণীকরণ (পাসফ্রেজ সহ) কেবলমাত্র পাসওয়ার্ড-প্রমাণীকরণের চেয়ে শক্তিশালী তাই আমরা পাবলিক কীতে লগইন করতে sudoers প্রয়োজন require তবে সাধারণ ব্যবহারকারীদের এটি করতে বাধ্য করা কম সুবিধাজনক। ইন sshd_config, আমি কোনও নীতি-সম্পর্কিত কনফিগারেশন দেখতে পাচ্ছি না।

ssh  security  public-key 
ক্রেন্ড কিং
সূত্র

উত্তর:

11

আপনার স্বল্প কিছু সু্যোগ আছে। এই উত্তরে আমি ধরে নিচ্ছি আপনার একটি sudoersগ্রুপ সংজ্ঞায়িত হয়েছে।

কটাক্ষপাত sshd_configman পৃষ্ঠা, এবং জন্য চেহারা Matchনির্দেশ। এটি আপনাকে কনফিগারেশন ব্লকগুলি নির্দিষ্ট করতে দেয় যা কেবলমাত্র আপনার এসএসএস সংযোগের সাবসেটে প্রযোজ্য। আপনি এরকম কিছু করতে পারেন:

Match Group sudoers
PasswordAuthentication no
ChallengeResponseAuthentication no

আপনি তাত্ত্বিকভাবে পিএএম কনফিগারেশনের সাথে অনুরূপ কিছু অর্জন করতে পারেন যা sudoersগ্রুপের লোকদের দ্বারা প্রমাণীকরণের প্রচেষ্টা ব্যর্থ হবে । এটি সম্ভবত পাম_সুসিড_আইডি মডিউলকে জড়িত করবে ... আপনি authsshd এর জন্য আপনার কনফিগারেশনে এরকম কিছু যুক্ত করতে পারেন :

auth        requisite     pam_succeed_if.so user notingroup sudoers quiet

এর অর্থ হ'ল কেবল sudoersগোষ্ঠীতে নেই এমন লোকেরা পিএএমের মাধ্যমে প্রমাণীকরণ করতে পারে। মনে রাখবেন এটি নিরীক্ষিত। আপনি অনুরূপ কিছু করতে পাম_লিস্টফাইল মডিউলটিও ব্যবহার করতে পারেন ।

larsks
সূত্র
1
ধন্যবাদ! আমি অবশ্যই লক্ষ রাখতে হবে যে ওপেনএসএসএইচ 5.0 তে ম্যাচের দিকনির্দেশনা প্রবর্তিত হয়েছে। CentOS এর মতো রক্ষণশীল বিতরণগুলির জন্য, এটি স্থানীয়ভাবে পাওয়া যাবে না।
ক্র্যান্ড কিং
এটি ওপেনএসএইচ 7.7p1 টিভঙ্গ করে - এটিকে পুনরায় চালু করার জন্য আমাকে চ্যালেঞ্জেরসপোসনঅথেন্টিকেশন নির্দেশটি সরিয়ে ফেলতে হয়েছিল।
rbsec
3

আরেকটি সম্ভাব্য উত্তর, যেমন @ অ্যালার্কস, উত্তরটি আমার সংস্করণটির জন্য কাজ ssh_dকরে নি বলে মনে হয় যে আমার সংস্করণটি এখানে পাওয়া ডকুমেন্টেশন ব্যবহার করে যা বলেছে:

ম্যাচের কীওয়ার্ড অনুসরণ করে কেবলমাত্র কীওয়ার্ডের একটি উপসেট ব্যবহার করা যেতে পারে। উপলব্ধ কীওয়ার্ডগুলি হ'ল। । ।

কীওয়ার্ড যে তালিকা অন্তর্ভুক্ত করে না: ChallengeResponseAuthentication

আমি খুঁজে পেয়েছি একটি মজাদার উপায় ছিল AuthenticationMethodsআপনার ক্ষেত্রে কোনটি এর মতো কাজ করবে তা ব্যবহার করা :

Match Group sudoers
AuthenticationMethods 'publickey'

AuthenticationMethods কমা দ্বারা পৃথক হওয়া মানগুলির একটি তালিকা গ্রহণ করে যা সার্ভার অ্যাক্সেসের আগে ব্যবহারকারীকে অবশ্যই পাস করা উচিত এমন পদ্ধতিগুলির একটি সিরিজ উপস্থাপন করে।

AuthenticationMethods 'publickey,password' ব্যবহারকারীকে সর্বজনীন কী এবং তারপরে একটি পাসওয়ার্ড দিয়ে যেতে বাধ্য করবে।

আরও পড়তে man sshd_config

Breedly
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.