У меня есть персональный сервер, который я размещаю из дома, который имеет порт 22 выставленных к миру для SSH. Что бы там ни было я также вхожу в систему как корень. Я знаю, сколько из угрозы безопасности это может изложить и начало чувствовать это, когда кто-то начал пробовать к грубой силе мой сервер по корню. Вместо того, чтобы закрыть порт и использовать openvpn или удаленный рабочий стол для доступа к моей сети я решил позволить автору Google быть вдвойне безопасным, у меня есть конфигурация как это:
/etc/pam.d/sshd:
\# Standard Un\*x authentication.
\#@include common-auth
@include google-auth
/etc/pam.d/sshd/google-auth:
auth required pam_google_authenticator.so forward_pass
auth [success=1 default=ignore] pam_unix.so use_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_cap.so
Я сделал это этот путь так, чтобы я мог играть вокруг, не редактируя файлы по умолчанию и легко вернуться в любое время. Это также позволяет мне играть вокруг с модулем PAM, заказывают немного.
Цель состоит в том, чтобы иметь его запрос 'Пароль и Проверка' одновременно.Работает! Вид.
login as: root
Using keyboard-interactive authentication.
Password & verification code:
Access denied
Using keyboard-interactive authentication.
Password & verification code:
Access denied
Using keyboard-interactive authentication.
Password & verification code:
Access denied
root@192.168.1.5's password:
Access denied
root@192.168.1.5's password:
Таким образом, если существует 3 неудачных попытки в Пароле и проверка, он ударяет только к просьбе о пароле. Ввод пароля отдельно или пароля и проверки НЕ работает. Это всегда заканчивается неудачей, которая хороша. Плохая часть - то, что, если кто-то - грубое принуждение этого, оно иногда будет ТОЛЬКО просить пароль даже на первой попытке входа в систему. Это блокирует меня с сервера!
В этой точке это - больше любопытства, чем что-либо еще. Я могу всегда закрывать порт и разрешать проблему, но я действительно хотел бы решить эту загадку. Какие-либо мысли?