私は、ITインフラストラクチャ全体のセキュリティを向上させようとして、ログインにスマートカードを使用し始めました。秘密鍵とx.509証明書を使用してPIVスマートカードを正常に設定および設定しました。pam_pkcs#11これにより、スマートカードのログインが機能します。ドキュメントに記載されているように、以下を追加しました。
auth [success=2 default=ignore] pam_pkcs11.so
この時点でetc/pam.d/common-authスマートカードのログインが動作しています。ただし、カードリーダーとスマートカードを取り外すと、システムはパスワードログイン(この場合はgnome)に戻ります。
したがって、私の目標は、グラフィカルインターフェイスの有無にかかわらず、パスワードログインを完全に無効にすることです。カードリーダーとスマートカードが接続されていないとログインできません。
アカウントのパスワードが非アクティブに設定されているという記事を読んでいますが、passwd -l $(whoami)私には合わないようです。
pamシステム全体のパスワードログインを無効にすることでこれを実行できますか?
ところで:今はUbuntu 19.10を使用しています。
ベストアンサー1
このモジュールはpam_unix.so以下を担当しているようですstandard Unix authentication。
PAM_UNIX(8) Linux-PAM Manual PAM_UNIX(8)
NAME
pam_unix - Module for traditional password authentication
SYNOPSIS
pam_unix.so [...]
DESCRIPTION
This is the standard Unix authentication module. It uses standard calls from the
system's libraries to retrieve and set account information as well as authentication.
Usually this is obtained from the /etc/passwd and the /etc/shadow file as well if
shadow is enabled.
したがって、パスワードベースの認証を完全に無効にするには、ディレクトリpam_unix.soに含まれるすべての行をコメントアウトするだけで/etc/pam.d十分だと思います。