Вопрос: Можно ли настроить SSHD для принудительного использования 2-фактора для всех пользователей, но при этом разрешить работу AWS EC2 Instance Connect?
У AWS есть эта функция «Подключение экземпляра EC2», которая предоставляет способ ssh в качестве пользователя из консоли AWS. Он использует API-интерфейсы AWS для размещения временного открытого ключа в экземпляре, а затем подключается через ssh. (По крайней мере, я так думаю)
я следил это руководство по добавлению мультифактора в ssh, однако оно не позволяет подключиться к этому экземпляру из EC2 Instance Connect.
Я считаю, что он не может подключиться из-за этой строки в /etc/ssh/sshd_config: Методы аутентификации с открытым ключом, интерактивной клавиатурой -- потому что AWS подключается только по открытому ключу.
Однако далее в этой статье предполагается, что нуллок конфиг в /etc/pam.d/sshd должен позволить пользователям обходить 2-фактор, если он не настроен (если ~/.google_authenticator не существует в домашнем каталоге пользователя), чего нет у моих пользователей root и ec2. Однако я все еще не могу подключиться с консоли как пользователь root или ec2-user.
Итак, да - есть ли способ заставить это работать в обеих ситуациях? Спасибо!
