是否可以仅为选定的 SSH 用户设置 ChallengeResponseAuthentication?

是否可以仅为选定的 SSH 用户设置 ChallengeResponseAuthentication?

是否可以ChallengeResponseAuthentication仅为选定的 SSH 用户进行设置?

我正在使用 AWS AMI,并使用包设置了 MFA google-authenticator。它按预期运行。

我主要担心的是,任何重大故障(例如丢失手机)都会导致 jumphost 完全丢失。我在想我是否可以在另一个微实例上创建一个普通用户、设置密钥等,然后在平时停止该实例。

非常感谢您的指导。还有其他方法可以实现相同的目标吗?

- 更新 -

https://access.redhat.com/solutions/63129获取分步说明

为了保险起见,我还在第二个 sshd-config 中添加了一行:

AllowUsers a-user-name

答案1

不可以。ChallengeResponseAuthentication只能全局设置,并且不是Match块中的有效选项,可用于更改不同用户的设置。

我能想到的唯一选择是sshd在不同的端口上使用不同的配置文件运行第二个守护进程,它只接受单个用户(AllowUsers选项)。

相关内容