PAM(Pluggable Authentication Modules)으로 SSH 구성

PAM(Pluggable Authentication Modules)으로 Teleport SSH를 구성하는 방법.

Teleport의 SSH 서비스는 PAM(Pluggable Authentication Modules)과 통합되도록 구성할 수 있습니다. Teleport는 현재 auth , account , session PAM 모듈을 지원합니다. auth 스택은 선택 사항이며 기본적으로 사용되지 않습니다. PAM을 활용하는 몇 가지 사항: 사용자 정의 오늘의 메시지(MOTD) 생성 로그인 시 로컬 Unix 사용자 생성 추가 인증 단계 추가 Pluggable Authentication Modules 소개 # 배경 # Pluggable Authentication Modules(PAM)은 1995년 Sun Microsystems가 Solaris에 대한 일반 인증 프레임워크를 구현한 때부터 시작되었습니다. 그 이후 대부분의 GNU/Linux 배포판이 PAM을 채택했습니다. $ man pam Pluggable Authentication Modules(PAM) 라이브러리는 여러 일반적인 인증 관련 작업을 추상화하고 이러한 작업을 다양한 방식으로 구현하는 동적으로 로드된 모듈을 위한 프레임워크를 제공합니다. 용어 # PAM 용어에서 사용자를 인증하는 데 PAM을 사용하는 애플리케이션을 서버 라고 하며, 종종(항상은 아닌) 프로그램 이름인 서비스 이름으로 구성 목적으로 식별됩니다. 인증을 요청하는 사용자는 신청자 라고 하고, 신원을 확인하고 요청된 자격 증명을 부여하는 사용자(보통 root)는 중재자 라고 합니다. 서버가 사용자를 인증하고 요청한 작업을 수행하기 위한 작업 순서를 PAM 트랜잭션 이라고 합니다. 서버가 요청된 작업을 수행하는 컨텍스트를 세션 이라고 합니다. PAM이 구현하는 기능은 인증, 계정 관리, 세션 관리, 비밀번호 관리의 네 가지 기능으로 나뉩니다. Teleport는 현재 계정 관리와 세션 관리를 지원합니다. Teleport를 실행하는 Linux 머신에서 PAM 설정 # Best practices for production security When running Teleport in production, you should adhere to the following best practices to avoid security incidents: Avoid using sudo in production environments unless it's necessary. Create new, non-root, users and use test instances for experimenting with Teleport. Run Teleport's services as a non-root user unless required. Only the SSH Service requires root access. Note that you will need root permissions (or the CAP_NET_BIND_SERVICE capability) to make Teleport listen on a port numbered < 1024 (e.g. 44