Pregunta: ¿ es posible configurar SSHD para aplicar 2 factores para todos los usuarios, pero también permitir que AWS EC2 Instance Connect continúe funcionando?


AWS tiene esta función "EC2 Instance Connect" que proporciona una forma de ingresar como usuario desde la consola de AWS. Utiliza las API de AWS para poner una clave pública temporal en la instancia y luego se conecta a través de ssh. (Al menos, creo que eso es lo que hace)

Seguí esta guía para agregar múltiples factores a ssh, sin embargo, rompe la capacidad de conectarse a esta instancia desde EC2 Instance Connect.

Creo que no se puede conectar, debido a esta línea en / etc / ssh / sshd_config: AuthenticationMethods publickey,keyboard-interactive- porque AWS se conecta solo mediante una clave pública.

Sin embargo, ese artículo continúa sugiriendo que la nullokconfiguración en /etc/pam.d/sshddebería permitir a los usuarios omitir el factor 2 si no lo tienen configurado (si ~ / .google_authenticator no existe en el directorio de inicio del usuario), que mi raíz y ec2 -los usuarios no tienen. Sin embargo, todavía no puedo conectarme desde la consola como usuario root o ec2.

Entonces sí, ¿hay alguna manera de que esto funcione para ambas situaciones? ¡Gracias!

no answer