SSH 키 쌍 인증과 함께 작동하지만 암호가 없으면 암호를 요구하지 않고 잘못된 암호가 제공되면 로그인에 실패하도록 시스템을 구성하는 방법을 찾고 싶습니다.
우리는 SSH 키를 기본값으로 설정하고 싶습니다. 비밀번호 인증을 강제할 수 있다는 것을 알고 있지만 이렇게 하면 키 쌍 인증이 종료됩니다. 키 쌍이 구성되지 않았거나 실패한 경우에만 비밀번호를 강제로 적용할 수 있나요?
왜? (설명을 요구함)
CIS9 5.3 권한 업그레이드 구성
CIS9 5.3.4 사용자가 업그레이드 비밀번호를 제공해야 하는지 확인(자동)
그래서 내 생각이 프레첼처럼 꼬여서 미안한지 모르겠다. 이것은 ssh 및 sudo 업그레이드입니다. RHEL 9에서 sudo 업그레이드를 통해 비밀번호를 강제로 적용하면 SSH에 대한 비밀번호 없는 인증이 중단됩니다.
테스터로부터:
새 RHEL 9.x VM을 구성한 후에는 해당 사용자를 즉시 sudo로 사용할 수 없습니다. 섹션 5.3.4에 문제가 있습니다. - (사용자가 업그레이드하려면 비밀번호를 제공해야 함(자동) | /etc/sudoers.d)
섹션 5.3.4의 이 부분은 구성 프로세스와 충돌합니다. 일부 분석 후에는 사용자가 14일 후에 자동으로 삭제하므로 이 섹션을 삭제/설명하는 것이 좋습니다. Active Directory에 가입한 후 추가 sudoers 권한을 얻습니다.
역할이 실행되면 사용자는 sudo 비밀번호를 사용해야 합니다. 설계상 임시 사용자 계정에는 비밀번호가 없으며 대신 SSH 키를 사용합니다.
답변1
질문을 편집한 후 질문의 맥락에 따라 답변이 변경되었습니다. 가급적 다음 주소로 질문을 남겨주세요.https://security.stackexchange.com/
여기서 보안 요구 사항은 명령을 효과적으로 논의하는 것입니다 sudo. 실제로 SSH에 관한 것이 아닙니다.
sudo사용자가 추가 권한을 얻을 수 있도록 허용하는 데 사용하는 명령입니다. 예를 들어 일반 사용자는 일반적으로 드라이브를 마운트하거나 수정할 수 없습니다 /etc/. 이 명령을 사용하면 더 많은 작업을 수행할 수 있도록 sudo액세스 권한을 부여할 수 있습니다 . root이러한 방식으로 권한을 추가하는 것을 "권한 에스컬레이션"이라고 합니다.
sudo따라서 이 보안 요구 사항은 명령이 사용자에게 암호를 요청해야 함 을 나타냅니다 .
여기서 발생하는 문제는 시스템에 비밀번호를 입력하지 않고도 실행할 its-user수 있는 사용자(?라는 이름) 가 있다는 것입니다. sudo이는 사용자가 가상 머신을 자동으로 프로비저닝하는 데 사용되기 때문에 설정됩니다. 터미널에 아무도 없기 때문에 비밀번호를 묻는 것은 일을 멈추고 영원히 기다립니다.
줄 사이를 읽으려면 이 사용자는 Ansible 스크립트의 일부로 sudo 명령을 실행해야 합니다.
나의 첫 번째 반응은 Ansible 스크립트를 이런 방식으로 설정해야 하는지에 대한 의문이었습니다. 힌트가 있습니다여기어쩌면 sudo가 필요하지 않도록 Ansible 스크립트를 변경할 수도 있습니다.become저는 Ansible 전문가가 아니기 때문에 필요한지 잘 모르겠습니다 sudo.
sudo다음으로 이 초기 단계의 정확한 목적을 좁힐 수 있는지 살펴보겠습니다 . 이 사용자가 비밀번호 없이 원하는 작업을 수행하도록 허용하는 대신 /etc/sudoers해당 사용자가 비밀번호 없이 특정 명령을 실행할 수 있도록 수정할 수 있습니다 .
다음으로 이를 잠그기 위해 더 나은 조치를 취할 수 있는지 확인하십시오. 어쩌면 마지막 작업을 수행하는 동안 Ansible 스크립트가 스스로 잠길 수도 있습니다.
다른 모든 방법이 실패하면 이것이 문제인지 묻고 싶습니다. 그럴 수도 있고 아닐 수도 있고. 이는 보안 문제에 더 가깝습니다.
사용자가 수동 로그인 없이 자동화된 사용만을 목적으로 한다면 별로 신경쓰지 않을 것입니다. 하지만 아마도 감사관을 만족시키기 위해 그렇게 하고 있을 수도 있습니다.