Câu hỏi: có thể định cấu hình SSHD để thực thi 2 yếu tố cho tất cả người dùng, đồng thời cho phép AWS EC2 Instance Connect tiếp tục hoạt động không?


AWS có tính năng này "Kết nối phiên bản EC2" cung cấp cách truy cập vào với tư cách người dùng từ Bảng điều khiển AWS. Nó sử dụng các API AWS để đặt khóa công khai tạm thời trên phiên bản và sau đó kết nối qua ssh. (Ít nhất, tôi nghĩ đó là những gì nó làm)

Tôi đã làm theo hướng dẫn này để thêm đa yếu tố vào ssh, tuy nhiên, nó phá vỡ khả năng kết nối với phiên bản này từ EC2 Instance Connect.

Tôi tin rằng nó không thể kết nối, vì dòng này trong / etc / ssh / sshd_config: AuthenticationMethods publickey,keyboard-interactive- bởi vì AWS chỉ kết nối bằng khóa công khai.

Tuy nhiên, bài viết đó tiếp tục đề xuất rằng nullokcấu hình trong /etc/pam.d/sshdnên cho phép người dùng bỏ qua 2 yếu tố nếu họ chưa định cấu hình nó (nếu ~ / .google_authenticator không tồn tại trong thư mục chính của người dùng), mà root và ec2 của tôi -người dùng không có. Tuy nhiên, tôi vẫn không thể kết nối từ bảng điều khiển với tư cách là người dùng gốc hoặc người dùng ec2.

Vì vậy, có một cách để làm cho điều này hoạt động cho cả hai tình huống? Cảm ơn bạn!

no answer