Saya bertanya-tanya apakah mungkin untuk mencapai yang berikut, semuanya pada saat yang sama:
- Nonaktifkan login root
- Aktifkan login SSH untuk pengguna pribadi, hanya melalui kunci SSH
- Aktifkan login SSH untuk pengguna yang tidak berhak, dengan otentikasi kata sandi dan otentikasi dua faktor saja
Menggunakan Match
blok di sshd_config
saya bisa mengatur ini sehingga secara umum PasswordAuthentication
dinonaktifkan kecuali untuk pengguna yang tidak memiliki hak pribadi (sebut saja peon
). Kunci SSH diperlukan untuk masuk ke pengguna pribadi (yang memiliki kemampuan sudo).
Namun, ketika saya mencoba untuk mengaktifkan otentikasi dua faktor ( pam_google_authenticator
) saya harus menghidupkan ChallengeResponseAuthentication
yang sepertinya tidak berfungsi di Match
blok, dan karenanya menghidupkan kembali otentikasi kata sandi untuk semua orang.
Apakah ada cara untuk menyelesaikan ini? Saya tidak terlalu hebat dengan hal-hal semacam ini, jadi penjelasan rinci akan sangat dihargai.
Terima kasih!
sumber
User
bukan merupakan fokus jawaban Anda, saya tetap merekomendasikan untuk mengubah contoh untuk menggunakanGroup
alih-alihUser
. Menyematkan nama pengguna dalam file konfigurasi cenderung tidak skala dengan baik.Bad configuration option: AuthenticationMethods
-Directive 'AuthenticationMethods' is not allowed within a Match block
Apakah ini berarti saya perlu memperbarui ssh?