[gelöst] ssh mit libpam-google-authenticator - Nutzerabhängig?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Exxter
Beiträge: 383
Registriert: 10.01.2003 00:15:15
Lizenz eigener Beiträge: GNU General Public License

[gelöst] ssh mit libpam-google-authenticator - Nutzerabhängig?

Beitrag von Exxter » 10.08.2023 07:27:52

Hallo,

ich finde libpam-google-authenticator eine gute Lösung zum Absichern von SSH:

https://www.thomas-krenn.com/de/wiki/SS ... _absichern

leider hat das ganze das Problem, dass dadurch zB. Scripte die sich ohne Passwort einloggen dürfen, auch nach dem zweiten Faktor gefragt werden.
Gibt es eine Möglichkeit, das pro Benutzer einzustellen? Ich habe folgendes als Test in die /etc/ssh/sshd_config eingetragen:
Match User cabber
PasswordAuthentication yes
AuthenticationMethods keyboard-interactive
das hat leider nichts gebracht. Bei AllowUsers ist der User eingetragen.

Auch:
Match User cabber
PasswordAuthentication yes
ChallengeResponseAuthentication no
funktioniert nicht.

System ist ein aktuelles Debian 12.
Zuletzt geändert von Exxter am 10.08.2023 10:03:10, insgesamt 1-mal geändert.
Nach oben
Benutzeravatar
MSfree
Beiträge: 10777
Registriert: 25.09.2007 19:59:30

Re: ssh mit libpam-google-authenticator - Nutzerabhängig?

Beitrag von MSfree » 10.08.2023 08:48:49

Exxter hat geschrieben: ↑ zum Beitrag ↑
10.08.2023 07:27:52

Code: Alles auswählen

Match User cabber
  PasswordAuthentication yes
  ChallengeResponseAuthentication no
funktioniert nicht.
Meiner Erfahrung nach darf nach einer Match-Zeile nur eine weitere Zeile stehen.

Da man in /etc/ssh/sshd_config global

Code: Alles auswählen

UsePAM yes
AuthenticationMethods publickey,keyboard-interactive
einstellen muß, sollte eigentlich

Code: Alles auswählen

Match User cabber
  AuthenticationMethods publickey
ausreichen, um für "cabber" keinen Authenticator nutzen zu müssen.
Nach oben
Exxter
Beiträge: 383
Registriert: 10.01.2003 00:15:15
Lizenz eigener Beiträge: GNU General Public License

Re: ssh mit libpam-google-authenticator - Nutzerabhängig?

Beitrag von Exxter » 10.08.2023 09:49:52

publickey funktioniert, mit Passwort klappt es nicht. Ich möchte eigentlich alle 3 Methoden nutzen können, nur Passwort (so als ob man kein 2fa konfiguriert hat, publickey für Scripte und 2fa - im Grunde möchte ich 2fa nur für einen einzigen Nutzer aktivieren. Hier mal die komplette /etc/ssh/sshd_config:

Code: Alles auswählen

Port 22222
AllowUsers root cabber flexnotebook
PermitRootLogin without-password
Protocol 2
ChallengeResponseAuthentication yes
UsePAM yes
X11Forwarding yes
PrintMotd no
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem       sftp    /usr/lib/openssh/sftp-server
Match User flexnotebook
   PasswordAuthentication no
Match User cabber
  AuthenticationMethods keyboard-interactive
Der Zugriff mit dem User flexnotebook über publickey funktioniert, nur nicht mit Passwort bei cabber.

Edit: ich habs: https://askubuntu.com/questions/819110/ ... tain-users

In die "/etc/pam.d/sshd":

Code: Alles auswählen

# Google Authenticator
auth [success=done default=ignore] pam_succeed_if.so user ingroup no2fa
auth required pam_google_authenticator.so
Benutzer cabber in die Gruppe no2fa gesteckt, läuft. Danke :D
Nach oben
Antworten

Zurück zu „Sicherheit“