Я не хочу взагалі відключати віддалений вхід із паролем, але хочу зробити так, щоб мій обліковий запис був доступний лише з аутентифікацією пари ключів (є інші користувачі, які хочуть використовувати паролі для входу). Чи можливо це змінити на основі кожного користувача, в ідеалі без зміни системних налаштувань?
І щоб було зрозуміло, мій обліковий запис має доступ до sudo, тому я не хочу блокувати пароль.
Відповіді:
Ви можете використовувати опцію "Збіг" у sshd_config
Матч Вводить умовний блок. Якщо всі критерії в рядку відповідності задовольняються, ключові слова в наступних рядках замінюють задані в глобальному розділі конфігураційного файлу до тих пір, поки не з’явиться інший рядок відповідності або в кінці файлу. [1]
Отже, в кінці цього файлу ви можете вказати:
Match User yourusername
PasswordAuthentication noПерегляньте man 5 sshd_configвсі доступні варіанти.
[1] http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config&sektion=5
Відповідь від jasonwryan буде правильний спосіб зробити це зміна. Єдине доповнення, яке я хотів би зробити, це те, що ви можете встановити збіг груповим, щоб будь-які користувачі групи колеса повинні були використовувати автентифікацію ключів, а інші могли використовувати паролі.
Я знаю, що ви хочете зробити це без зміни файлів конфігурації системи, але є вагома причина, чому це неможливо. У вашій голові має сенс, що ваш користувач повинен мати змогу запровадити більш безпечну політику входу, але тільки тому, що на ваш погляд, це більш безпечний варіант, не змінює той факт, що це все-таки зміна вимог до входу в систему для віддалений користувач.
Щоб зрозуміти, чому це проблема, уявіть сценарій навпаки. Системний адміністратор (який може змінювати файли конфігурації системи) встановлює систему лише на основі ключових даних для входу. Потім, якийсь користувач приходить і має лише доступ до свого власного файлу користувача та встановлює свій обліковий запис, щоб дозволити автентифікацію пароля, що переосмислює системну політику. Бджола . Проблема безпеки!
Чи пояснює це, чому тип змін, який ви хочете внести, можливий лише з файлу конфігурації системи?
authorized_keysвстановити більше обмежень, як це хоче phunehehe. Наприклад, authorized_keysможна обмежити певні клавіші певними командами.
Додавання обмежень для себе, нічого не змінюючи
Чому б не на стороні клієнта, якщо впевнений, що ssh буде клієнтом, який буде використовуватися для спроб входу? Якщо так, спробуйте внести зміни до ssh_config замість sshd_config. Перевірте параметр "Ні пароля, ні автентифікацію" та "Переповнені автентифікації"