SSHパスワードログイン用にGoogle 2FAを設定しました。うまくいきますが、可能であれば小さなセキュリティホールを埋めたいと思います。提供されたパスワードが正しい場合は、2FAトークンを要求します。提供されたパスワードが正しくない場合は、引き続きパスワードの入力を求めます。これは、攻撃者がすぐにアクセスできなくても、実際にパスワードが見つかったことを明らかに示しています。
たとえば、パスワードがHunter2の場合:
Password: hunter2
Verification code:
そして
Password: banana
Password:
この攻撃ベクトルをブロックするには、パスワードが間違っていても、すべてのインスタンスで2FAコードを要求するように設定したいと思います。また、正しいパスワードと誤ったOTPを入力した場合は、通知を送信したいと思います。
PAM設定でこれを達成できますか?それとも、そのために独自のモジュールを作成する必要がありますか?
# PAM configuration for the Secure Shell service
# Standard Un*x authentication.
@include common-auth
auth required pam_google_authenticator.so nullok
# Disallow non-root logins when /etc/nologin exists.
account required pam_nologin.so
# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account required pam_access.so
# Standard Un*x authorization.
@include common-account
# SELinux needs to be the first session rule. This ensures that any
# lingering context has been cleared. Without this it is possible that a
# module could execute code in the wrong domain.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
# Set the loginuid process attribute.
session required pam_loginuid.so
# Create a new session keyring.
session optional pam_keyinit.so force revoke
# Standard Un*x session setup and teardown.
@include common-session
# Print the message of the day upon successful login.
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session optional pam_motd.so motd=/run/motd.dynamic
session optional pam_motd.so noupdate
# Print the status of the user's mailbox upon successful login.
session optional pam_mail.so standard noenv # [1]
# Set up user limits from /etc/security/limits.conf.
session required pam_limits.so
# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
session required pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
session required pam_env.so user_readenv=1 envfile=/etc/default/locale
# SELinux needs to intervene at login time to ensure that the process starts
# in the proper default security context. Only sessions which are intended
# to run in the user's context should be run after this.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
# Standard Un*x password updating.
@include common-password