2FA SSH ログインに Google Authenticator を使用します。その構成は/etc/pam.d/sshd次のとおりです。
@include common-password
auth required pam_google_authenticator.so nullok
あなたもわかりますが、OpenSSH 8.2にはU2Fキーサポートが付属しています。。私たちはU2Fを次のように使用したいと思います:
- ユーザーが U2F サポートキーで認証する場合、ユーザーを許可するために Google OTP コードをリクエストする必要はありません。
- ユーザーが単純キーを使用して認証する場合は、認証コードをリクエストしてください。
どうやってこれを達成できますか? U2Fキーは特定のタイプです(サフィックスを参照-SK)。
$ ssh-keygen -l -f ~/.ssh/id_ecdsa_sk.pub
256 SHA256:8+ktnvXXshnIek7fEffbEQUhFvwZXOfahSHRagxcdbc pypt@NN (ECDSA-SK)
それでは、特定のキータイプのみを許可するようにPAMを設定する方法はありますか?