Можно ли настроить ChallengeResponseAuthentication только для выбранных пользователей SSH?

Я использую AWS AMI и настроил MFA с помощью пакета google-authenticator . Работает как положено.

Моя главная проблема заключается в том, что любой серьезный сбой (например, потеря моего телефона) приведет к полной потере Jumphost. Я думал, смогу ли я создать простого обычного пользователя, настроить ключи и т.д. На другом микроэкземпляре, а затем остановить этот экземпляр в обычное время.

Буду признателен за некоторые полезные рекомендации. Существуют ли другие способы достижения той же цели?

--ОБНОВИТЬ--

См. Https://access.redhat.com/solutions/63129 для пошаговых инструкций.

Для большей ясности я также добавил дополнительную строку во второй sshd-config:

AllowUsers a-user-name
|источник

1 ответ1

1

Нет. ChallengeResponseAuthentication может быть установлен только глобально и не является допустимым параметром в блоке Match , который можно использовать для изменения настроек для другого пользователя.

Единственная альтернатива, о которой я могу подумать, это запустить второго демона sshd на другом порту с другим файлом конфигурации, который будет принимать только одного пользователя (опция AllowUsers ).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .