No quiero deshabilitar el inicio de sesión remoto con contraseña por completo, pero quiero hacerlo para que mi cuenta solo sea accesible con la autenticación de par de claves (hay otros usuarios que desean usar contraseñas para iniciar sesión). ¿Es posible cambiar esto por usuario, idealmente sin cambiar la configuración del sistema?
Y para que quede claro, mi cuenta tiene acceso a sudo, por lo que no quiero bloquear la contraseña.
ssh
authentication
key-authentication
phunehehe
fuente
fuente
La respuesta de jasonwryan será la forma correcta de hacer este cambio. La única adición que haría es que podría configurar la coincidencia para que se base en el grupo, de modo que cualquier usuario en el grupo de rueda debería usar la autenticación de clave mientras que otros podrían usar contraseñas.
Sé que desea hacer esto sin cambiar los archivos de configuración del sistema, pero hay una buena razón por la cual eso no será posible. En su mente, tiene sentido que su usuario pueda instituir una política de inicio de sesión más segura, pero solo porque en su opinión es una opción más segura no cambia el hecho de que todavía es un cambio en los requisitos de inicio de sesión del sistema para Un usuario remoto.
Para entender por qué esto es un problema, imagine el escenario al revés. El administrador del sistema (que puede cambiar los archivos de configuración del sistema) configura el sistema solo para inicio de sesión basado en claves. Luego, aparece un usuario y solo tiene acceso a su propio archivo de usuario y establece su cuenta para permitir la autenticación de contraseña, anulando la política del sistema. BEEEEEEP . ¡Problema de seguridad!
¿Eso explica por qué el tipo de cambio que desea hacer solo es posible desde el archivo de configuración del sistema?
fuente
authorized_keys
poner más restricciones, como phunehehe quiere. Por ejemplo,authorized_keys
puede restringir ciertas teclas a ciertos comandos.¿Por qué no en el lado del cliente, si es seguro que ssh sería el cliente que se utilizará para los intentos de inicio de sesión? En caso afirmativo, intente realizar cambios en ssh_config en lugar de sshd_config. Verifique el parámetro 'PasswordAuthentication No' y PreferredAuthentication
fuente