Вопрос: можно ли настроить SSHD для принудительного использования двух факторов для всех пользователей, но при этом позволить AWS EC2 Instance Connect продолжать работу?


В AWS есть функция «EC2 Instance Connect», которая позволяет подключиться по ssh в качестве пользователя из консоли AWS. Он использует API-интерфейсы AWS для размещения временного открытого ключа в экземпляре, а затем подключается через ssh. (По крайней мере, я так думаю)

Я следовал этому руководству, чтобы добавить многофакторность в ssh, однако это нарушает возможность подключения к этому экземпляру из EC2 Instance Connect.

Я считаю, что он не может подключиться из-за этой строки в / etc / ssh / sshd_config: AuthenticationMethods publickey,keyboard-interactive- потому что AWS подключается только с помощью открытого ключа.

Однако в этой статье предполагается, что nullokконфигурация /etc/pam.d/sshdдолжна позволять пользователям обходить двухфакторную конфигурацию, если она не настроена (если ~ / .google_authenticator не существует в домашнем каталоге пользователя), что в моем корневом каталоге и ec2 у пользователей нет. Однако я все еще не могу подключиться с консоли как пользователь root или ec2.

Так что да - есть ли способ заставить это работать в обеих ситуациях? Спасибо!

no answer