Sshd
使用 SSH 時,僅當使用者的主目錄中存在證書時,是否可以防止密碼驗證?
我正在啟動一個面向公眾的伺服器,執行 SSH 以進行遠端訪問。每個標准人類使用者都將使用證書進行身份驗證。
但是,機器上存在一個功能非常有限的帳戶,自動軟體將用於登錄,但不支持使用證書進行身份驗證。
我希望 SSHd 拒絕對所有包含證書的使用者帳戶進行密碼驗證,但允許對不包含證書的使用者帳戶進行密碼驗證。
如果使用者可以自己更改自己的證書,那麼每隔一段時間就會有人出錯並刪除他們現有的證書。如果這導致帳戶恢復為密碼身份驗證,則使用者可能會了解這一點並故意利用它。
相反,將預設設置設置
/etc/ssh/sshd_config為僅接受證書身份驗證,然後Match User在配置文件的末尾創建一個塊,覆蓋預設設置以僅允許對該使用者進行密碼身份驗證。或者,如果可能有其他使用者使用密碼身份驗證,請將其設置為Match Group塊並創建一個自定義組,您將向其中添加任何需要密碼身份驗證 SSH 訪問的使用者。