Я хотел бы позволить первому удаленному входу в систему через ssh использование пароля для новые пользователи. После того, как та аутентификация должна быть ограничена открытым ключом. Как иметь дело с этим? Я имею в виду, как ограничить второй и следующий вход в систему ssh-ключей, но позволить сначала с паролем.
вы можете сбросить пароль после того, как пользователь войдет в систему с помощью какого-нибудь скрипта /etc/профиль или bashrc.
Тогда вам нужно избежать того, что пользователь может изменить свой пароль еще раз. Вы знаете четыре подсистемы PAM auth, учетную запись, пароль, сессию? Вы должны изменить подсистему паролей так, чтобы пользователь больше не мог менять свой пароль.
Если вы не хотите использовать ssh-клавиши, а хотите запустить сценарий:
fist login: легкий вход с паролем 2-й/3-й вход с повышенной безопасностью
вы управляете полным сценарием в бэкэнде с помощью чего-то вроде privacyIDEA. Там пользователь может иметь различные устройства аутентификации (например, "пароль" или OTP-токен). И вы можете определить, как часто можно использовать такое устройство (например, пароль). Итак, установите пароль только для использования и все готово. Есть способ выполнить его с помощью серверной фермы и ssh.
Добрые пожелания. Корнелиус