Як я можу ввімкнути аутентифікацію пароля та відкритого ключа за допомогою OpenSSH

Я хотів би, щоб sshd перевірив відкритий ключ користувачів, а потім запропонував їх пароль, а не лише той чи інший. Чи можливо це?

На даний момент. Але є кілька патчів, що плавають навколо, які, як передбачається, додають це.

Дивіться https://bugzilla.mindrot.org/show_bug.cgi?id=983

Це, нарешті, доступно з OpenSSH 6.2 (випущений березень 2013 року), використовуючи параметр AuthenticationMethodsконфігурації.

Наприклад, ви можете додати такий рядок, sshd_configщоб вимагати автентифікації відкритого ключа та пароля:

AuthenticationMethods publickey,password

Під час входу в систему sshі scpспочатку виконає автентифікацію відкритого ключа, а потім запросить пароль:

$ ssh user@example.org
Authenticated with partial success.
user@example.org's password:

Якщо у вас є файл приватного ключа, вам, звичайно, спочатку буде запропоновано. Приклад використання PuTTY :

Using username "user".
Authenticating with public key "rsa-key-20131221-user"
Passphrase for key "rsa-key-20131221-user":
Further authentication required
user@example.org's password:

OpenSSH в RHEL / CentOS 6.3 тепер підтримує цю функцію, хоча я не можу знайти її згаданою у примітках до випуску OpenSSH. З приміток до релізу RHEL :

Тепер SSH може бути налаштований таким чином, щоб вимагати декількох способів аутентифікації (тоді як раніше SSH дозволяло кілька способів аутентифікації, для успішного входу яких потрібен був лише один); наприклад, для входу на машину з підтримкою SSH потрібно вводити як пароль, так і відкритий ключ. Параметри RequiredAuthentications1та RequiredAuthentications2параметри можуть бути налаштовані у /etc/ssh/sshd_configфайлі для вказівки автентифікацій, необхідних для успішного входу. Наприклад:

  ~]# echo "RequiredAuthentications2 publickey,password" >> /etc/ssh/sshd_config

Більш детальну інформацію про вищезазначені /etc/ssh/sshd_configпараметри див. На sshd_configдовідковій сторінці.

Це можливо, але безглуздо і обмежено. Спочатку ви дозволяєте лише автентифікацію відкритого ключа. Потім /etc/ssh/sshd_configдодайте, ForceCommandщо виконує скрипт, який перевірятиме пароль.

Сценарій порушить SFTP, якщо ви не перевірите, чи команда sftp, і не допустите її без пароля.

Я ніколи цього не пробував, щоб хтось міг побачити більше проблем.