Две Факторных аутентификации SSH на внешнем адресе только
Как многие другие пользователи Linux, я переключил на Mac для моего ежедневного использования несколько лет назад. Главная причина я сделал это, я хотел использовать ноутбук, и я добрался, настолько больной контакт fo с вещами любят, приостанавливают и возобновляются на ноутбуках Linux. Я - решенный вопрос, улучшились, но нижняя строка - то, что мой MacBook обычно просто работает без меня имеющий необходимость завинтить с ним.
Все стандартные инструменты Unix доступны на Mac, и поддержка виртуального рабочего стола достойна. Никакой focus-follow-mouse, который взял меня некоторое время для привыкания к.
Моя компания имеет Exchange Server, и обменная интеграция в Snow Leopard работает просто великолепно. Наконец я могу запланировать встречи и видеть общую доступность. Я действительно все еще выполняю дурака для чтения моей почты.
Если существует какая-либо утилита Unix, Вы не имеете установленными, быстрое выполнение macports установит ее. Я использую редактора Aquamacs в большой степени, и это - хорошее смешение emacs с функциональностью Mac.
Я думаю, что ключевая вещь состоит в том, что большинство системных администраторов проводит свое время, зарегистрированное к другим машинам так или иначе. Дайте мне terminal.app и Firefox, и у меня есть в значительной степени все, в чем я нуждаюсь для этого. Я, вероятно, попробую под управлением Linux на ноутбуке снова через несколько лет (особенно, если я должен купить свой собственный ноутбук), но на данный момент я очень доволен своим Mac.
Да, вы можете сделать это с помощью pam_access.so . Этот рецепт был взят из вики для Google Authenticator :
Полезный рецепт PAM - разрешить пропуск двухфакторной аутентификации, когда соединение исходит из определенных источников. Это уже поддерживается PAM. Например, модуль pam_access можно использовать для проверки источника на соответствие локальным подсетям:
# пропустить одноразовый пароль при входе в систему из локальной сети auth [успех = 1 по умолчанию = игнорировать] pam_access.so accessfile = / etc / security / access-local.conf требуется авторизация pam_google_authenticator.soВ этом случае access-local.conf выглядит так:
# разрешить только из локального диапазона IP-адресов +: ВСЕ: 10.0.0.0/24 +: ВСЕ: ЛОКАЛЬНОЕ -: ВСЕ: ВСЕТаким образом, попытки входа в систему из 10.0.0.0/24 не потребуют двухфакторной аутентификации.
Мое требование было очень похожим, но более конкретно я хотел 1) иметь публичный ключ И googleAuth извне и 2) иметь публичный ключ ИЛИ пароль изнутри (пароль на случай, если я потеряю все свои публичные ключи):
/etc/ssh/sshd_config:
AuthenticationMethods publickey,keyboard-interactive
Match address 192.168.2.0/24
PasswordAuthentication yes
AuthenticationMethods "password" "publickey"
Match all
/etc/pam.d/sshd:
# Google Authenticator
auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf
auth sufficient pam_google_authenticator.so
# Standard Un*x authentication.
auth [success=ignore default=4] pam_access.so accessfile=/etc/security/access-local.conf
@include common-auth
/etc/security/access-local.conf
+ : ALL : 192.168.2.0/24
- : ALL : ALL
В дополнение к предыдущему ответу мне пришлось пропустить 4 правила внутри /etc/pam.d/common-auth, когда извне, также я настроил аутентификацию Google на достаточную вместо обязательной. Я сделал это в Ubuntu 20.04, но это решение должно быть довольно общим
.