Creando autenticación SSH específica del puerto para el mismo usuario

Navega tus respuestas
1

Tengo un servidor Linux que ejecuta SSHD y me gustaría saber si es posible configurarlo, de modo que desde la LAN solo necesita una clave RSA para autenticarse (en el puerto X), pero desde fuera de la LAN, el usuario ¿Necesita autenticarse con una clave RSA y una contraseña OTP generada por un módulo PAM (a través del puerto Y)?

Intenté configurar / etc / ssh / sshd_config con la condición de coincidencia: 

match user XX
   LocalPort 22
   PasswordAuthentication no
   RSAAuthentication yes

match user XX
   LocalPort 12345
   PasswordAuthentication yes
   RSAAuthentication no

Me da el error: bad parameter , lo que implica que este comando no es compatible, aunque en el manual sshd_config dice que sí.

En resumen, mi pregunta es: ¿Es posible tener diferentes métodos de autenticación para el mismo usuario dependiendo del puerto en el que se conecten SSH?

    
pregunta Brill 12.05.2014 - 14:53
fuente

3 respuestas

2

Puede ejecutar dos daemons ssh escuchando en puertos separados utilizando dos archivos sshd_config y la opción -f de sshd . Un archivo de configuración incluiría el módulo OTP / pam, mientras que el otro solo permitiría la autenticación basada en claves.

Ambos podrían autenticar al usuario contra su propia clave privada independientemente.

Una palabra de advertencia: tendrá que realizar un seguimiento manual de las actualizaciones del daemon SSH, ya que es probable que su sistema solo actualice un archivo de configuración y no el otro.

    
respondido por el lorenzog 12.05.2014 - 15:07
fuente
1

De hecho, la expresión de coincidencia debe estar en la misma primera línea. Así que esto debería funcionar como se espera en /etc/ssh/sshd_config : 

Match User XX LocalPort 22
   PasswordAuthentication no
   RSAAuthentication yes

Match User XX LocalPort 12345
   PasswordAuthentication yes
   RSAAuthentication no

Tenga cuidado que el bloque Match termina con el final del archivo de configuración u otra directiva Match . La sangría es sólo para la belleza. Como resultado, NO agregue algunas líneas Match en medio del archivo de configuración existente. Así que simplemente coloque los bloques Match al final del archivo.

    
respondido por el Yves Martin 03.04.2017 - 16:36
fuente
-1

Aquí hay un enlace a una publicación para una situación similar: enlace . Dos configuraciones sshd, una que se reenvía a la otra, una que usa teclas y la otra una OTP. No es exactamente lo que quieres, pero podría ayudar.

    
respondido por el nowen 27.05.2014 - 15:48
fuente

Lea otras preguntas en las etiquetas

¿Cómo validar el enlace de confirmación recibido al publicar una nueva clave PGP? Cómo identificar el algoritmo de hashing [cerrado]