আমার একটি উবুন্টু সার্ভার রয়েছে একটি ব্যক্তিগত, অভ্যন্তরীণ, আইপি এবং জনসাধারণের মুখোমুখি আইপি উভয় সহ। আমি কেবল জনসাধারণের পক্ষে এসএসএইচের জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ স্থাপন করতে চাই। এটা কি সম্ভব? আমি গুগল প্রমাণীকরণকারী ব্যবহার করার পরিকল্পনা করছিলাম তবে বিকল্প ধারনার জন্যও আমি উন্মুক্ত।
উত্তর:
হ্যাঁ, আপনি এটি দিয়ে এটি করতে পারেন pam_access.so। গুগল প্রমাণীকরণকারীর জন্য উইকি থেকে এই রেসিপিটি নেওয়া হয়েছিল :
একটি কার্যকর পিএএম রেসিপি হ'ল সংযোগটি নির্দিষ্ট উত্স থেকে উত্পন্ন হওয়ার সময় দ্বি-ফ্যাক্টর প্রমাণীকরণকে এড়িয়ে যাওয়ার অনুমতি দেওয়া হয়। এটি ইতিমধ্যে পিএএম দ্বারা সমর্থিত। উদাহরণস্বরূপ, পাম_অ্যাক্সেস মডিউলটি স্থানীয় সাবনেটগুলির বিপরীতে উত্সটি পরীক্ষা করতে ব্যবহার করা যেতে পারে:
# skip one-time password if logging in from the local network auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth required pam_google_authenticator.soএক্ষেত্রে অ্যাক্সেস-লোকাল.কনফ দেখে মনে হচ্ছে:
# only allow from local IP range + : ALL : 10.0.0.0/24 + : ALL : LOCAL - : ALL : ALLসুতরাং 10.0.0.0/24 থেকে লগইন প্রচেষ্টাগুলির জন্য দ্বি-গুণক প্রমাণীকরণের প্রয়োজন হবে না।
AuthenticationMethods publickey,keyboard-interactiveকরেছি /etc/ssh/sshd_config। সুতরাং আমি এটির সমাধানের জন্য নিম্নলিখিতটি পরিবর্তন করেছি:auth [success=done default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth optional pam_google_authenticator.so nullok