Эти вопросы кажутся связанными:

Я считаю, что мои обстоятельства достаточно разные, чтобы начать новую тему.


Я настроил SSH для использования PAM с Google-Authenticator. Я добавил необходимые строки в /etc/ssh/sshd_config и /etc/pam.d/sshd и настроил Google Authenticator на обоих компьютерах и в приложении. Открытый ключ каждой системы копируется в другую.

В /etc/ssh/sshd_config:

PasswordAuthentication no
ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive:pam

В /etc/pam.d/sshd:

#%PAM-1.0
auth     required  pam_securetty.so     #disable remote root
# require google authenticator
auth      required  pam_google_authenticator.so
# but not password
#auth      include   system-remote-login
account   include   system-remote-login
password  include   system-remote-login
session   include   system-remote-login

Это вывод из ssh -vvv 192.IP.address.0:

OpenSSH_7.4p1, OpenSSL 1.0.2j  26 Sep 2016
...
debug3: send packet: type 20
debug1: SSH2_MSG_KEXINIT sent
debug3: receive packet: type 20
debug1: SSH2_MSG_KEXINIT received
debug2: local client KEXINIT proposal
debug2: KEX algorithms: ...
...
debug2: service_accept: ssh-userauth
...
debug1: Authentications that can continue: publickey
debug3: start over, passed a different list publickey
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup publickey
debug3: remaining preferred: keyboard-interactive,password
debug3: authmethod_is_enabled publickey
debug1: Next authentication method: publickey
debug1: Offering RSA public key: /home/trespaul/.ssh/id_rsa
debug3: send_pubkey_test
debug3: send packet: type 50
debug2: we sent a publickey packet, wait for reply
debug3: receive packet: type 60
debug1: Server accepts key: pkalg ssh-rsa blen 279
debug2: input_userauth_pk_ok
debug3: sign_and_send_pubkey
Enter passphrase for key '/home/trespaul/.ssh/id_rsa': 
debug3: send packet: type 50
debug3: receive packet: type 51
Authenticated with partial success.
debug1: Authentications that can continue: **keyboard-interactive**
debug3: **start over**, passed a different list keyboard-interactive
debug3: preferred publickey,keyboard-interactive,password
debug3: authmethod_lookup keyboard-interactive
debug3: remaining preferred: password
debug3: authmethod_is_enabled keyboard-interactive
debug1: Next authentication method: **keyboard-interactive**
debug2: userauth_kbdint
debug3: send packet: type 50
debug2: **we sent a keyboard-interactive packet**, wait for reply
debug3: receive packet: type 51
debug1: Authentications that can continue: keyboard-interactive
debug3: userauth_kbdint: disable: no info_req_seen
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (keyboard-interactive).

Между этими двумя последними жирным шрифтом / двойной звездой («следующий метод аутентификации - интерактивный kbd» и "мы отправили пакет") меня не запрашивают мой OTP. Почему это? Что мне не хватает?

Дополнительная информация

Я на Арке. libpam-google-authenticator устанавливается из AUR с помощью make install и т. д.

Изменить: журнал сервера

journalctl на сервере имеет следующее:

systemd[1]: Started OpenSSH Per-Connection Daemon (10.0.0.5:38150).
sshd[1376]: PAM unable to dlopen(/usr/lib/security/pam_google_authenticator.so): /usr/lib/security/pam_google_authenticator.so: cannot open shared object file: No such file or directory
sshd[1376]: PAM adding faulty module: /usr/lib/security/pam_google_authenticator.so
sshd[1376]: error: PAM: Module is unknown for paul from 10.0.0.5
sshd[1376]: Connection closed by 10.0.0.5 port 38150 [preauth]

Благодарю.

2 ответа2

1

Так что я решил это с

sudo cp '.../AUR Package/.libs/pam_google_authenticator.so' /usr/lib/security/pam_google_authenticator.so

Ошибка - отсутствующий файл .so , означающий, что что-то пошло не так или я что-то пропустил во время установки.


Это, однако, не похоже на лучшую практику. Если у кого-то есть лучшее, более элегантное решение, пожалуйста, не стесняйтесь добавлять в качестве ответа.

0

libpam-google-authenticator устанавливается из AUR с помощью make install и т. д.

Это не так, как вы устанавливаете вещи из AUR.

Пакет AUR уже имеет свои собственные инструкции по сборке и установке - файл PKGBUILD , который уже копирует необходимые файлы на свои места и даже создает файл .pkg.tar.gz с ними. Правильный способ сборки - makepkg:

makepkg -sirc

будет строить, устанавливать и убирать.

Что если в вашей загрузке нет PKGBUILD ? Тогда вы загрузили не тот файл. Источники пакетов верхнего уровня можно получить по ссылке в крайнем правом окне,

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .