我正在尝试设置以下内容: 仅允许通过 ssh 密钥访问 OpenSSH sftp 服务器,即不允许密码验证。SSH 密钥在服务器上自动生成。该服务器旨在用作网络托管服务器,每个网站有一个用户。这些用户只允许 sftp 访问,没有 shell。
为了让新用户能够通过 sftp 检索他们的密钥,我们允许他们第一次使用密码登录(仅限第一次!)。密码通过短信发送,每个新用户都有有限的时间来连接和获取密钥。第一次成功连接后,密码访问被禁用,该用户只允许基于密钥的访问。
我已经配置了这个工作流程的所有步骤,除了一个:如何检测新用户何时通过 sftp 首次连接?除了解析日志还有什么优雅的方法吗?
除了解析日志之外,我还能想到另外两种方法。
我会选择#2,但如果事情变得更复杂,#1 会很有用。
回答我自己的问题以指出另一种不需要安装任何额外软件的方法:PAM 模块 pam_exec。我从这里得到了灵感(类似的问题,不同的背景):在我的情况下,把
在 /etc/pam.d/ssh 文件中。这仅在 ssh/sftp 进行密码身份验证时运行,而不是在它进行基于密钥的身份验证时运行。然后 /path/to/command 中的命令可以
或者
有关 PAM 的优秀教程,包括我提到的两个模块,请参阅以下链接:
http://linuxtutorial.info/modules.php?name=Howto&pagename=User-Authentication-HOWTO/x115.html
http://susefaq.sourceforge.net/howto/pam.html