是否可以ChallengeResponseAuthentication
仅为选定的 SSH 用户进行设置?
我正在使用 AWS AMI,并使用包设置了 MFA google-authenticator
。它按预期运行。
我主要担心的是,任何重大故障(例如丢失手机)都会导致 jumphost 完全丢失。我在想我是否可以在另一个微实例上创建一个普通用户、设置密钥等,然后在平时停止该实例。
非常感谢您的指导。还有其他方法可以实现相同的目标吗?
- 更新 -
看https://access.redhat.com/solutions/63129获取分步说明
为了保险起见,我还在第二个 sshd-config 中添加了一行:
AllowUsers a-user-name
答案1
不可以。ChallengeResponseAuthentication
只能全局设置,并且不是Match
块中的有效选项,可用于更改不同用户的设置。
我能想到的唯一选择是sshd
在不同的端口上使用不同的配置文件运行第二个守护进程,它只接受单个用户(AllowUsers
选项)。