我正在尝试提高整个 IT 基础架构的安全性,因此我开始使用智能卡进行登录。我已经设法使用私钥和 x.509 证书配置 PIV 智能卡并进行设置pam_pkcs#11,以便智能卡登录工作。如文档中所述,我添加了以下内容:
auth [success=2 default=ignore] pam_pkcs11.so
toetc/pam.d/common-auth和 since 比智能卡登录有效。但是现在,如果读取器和智能卡被移除,系统将退回到密码登录(在这种情况下是 gnome)。
所以我的目标是完全禁用密码登录,无论是否有图形界面。如果读卡器和智能卡没有连接,应该不能登录。
我读过的某处passwd -l $(whoami)将某个帐户的密码设置为非活动状态,但这对我来说感觉不对。
是否可以这样做pam,这样整个机器都禁用密码登录?
顺便说一句:现在我正在使用 ubuntu 19.10