우리는 2FA SSH 로그인을 위해 Google Authenticator를 사용합니다. 그 구성은 /etc/pam.d/sshd다음과 같습니다:
@include common-password
auth required pam_google_authenticator.so nullok
당신도 알겠지만,OpenSSH 8.2에는 U2F 키 지원이 함께 제공됩니다.. 우리는 U2F를 다음과 같이 사용하고 싶습니다:
- 사용자가 U2F 지원 키로 인증하는 경우 사용자를 허용하기 위해 Google OTP 코드를 요청할 필요가 없습니다.
- 사용자가 단순 키를 사용하여 인증하는 경우 인증 코드를 요청하세요.
어떻게 이를 달성할 수 있나요? U2F 키는 특정 유형입니다(접미사 참고 -SK).
$ ssh-keygen -l -f ~/.ssh/id_ecdsa_sk.pub
256 SHA256:8+ktnvXXshnIek7fEffbEQUhFvwZXOfahSHRagxcdbc pypt@NN (ECDSA-SK)
그렇다면 특정 키 유형만 허용하도록 PAM을 구성하는 방법이 있을까요?