From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <alexei.mezin@gmail.com>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED,
 DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no
 version=3.4.1
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025;
 h=subject:references:to:from:message-id:date:user-agent:mime-version
 :in-reply-to:content-language:content-transfer-encoding;
 bh=8xciCtwuZObkAam8aAJvONISb6ocn/CKXnepjvmpVAM=;
 b=FnDfjJky3G96TIzUpmDmzITttxqpXunhZE9J0zXDnV46z+jqcWADAiZUMdgOTyaY3Y
 EyZePg2xxoPZmDi7AH/y7nfj3VH19u1hBvoBAxt1weYppaODnRaTFlPRzFlqcEYyrZRe
 OLDzh/PaHTqAMKtwI3JzDlD1of1MnJDuzuLGMq41u3ss4L3VoVajFRMIWoy8D9EA6SFG
 hxbDWijSnCV0eRYruPCCi/acJHJH/6Uj3XCrvYdgHpf7czjiD4VGsy+7Tn35M4qvxo3O
 g+GaXVj/BZISgxfTULrTawmVJ78U6F1yX7W636d34FReNDEmVufOpKRu16zDxFSQxMse
 ylqQ==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=1e100.net; s=20161025;
 h=x-gm-message-state:subject:references:to:from:message-id:date
 :user-agent:mime-version:in-reply-to:content-language
 :content-transfer-encoding;
 bh=8xciCtwuZObkAam8aAJvONISb6ocn/CKXnepjvmpVAM=;
 b=nCGF6SMFtZ+dYA3RQcbW8yORY4FfVRaV/v02XG4AQIciuzPIHrzl6CGy9Qxx2gG6AK
 Om/b+iY/+VNyKc2puUJd0W353LFhPEbWOJ7Lz9ke7NEjJcDAUQLbCsfX8wBvH2/IBttB
 mNPIXoixC3Qqzf/NN9UEb0LGjYZ+0MXEeyWq4D08rBYn35Sa1/iBUjxno5lLh5h1c0WH
 org+XbJkNDirH0AlVx82ZGsFnbFf4i4GHpqHZZ9+26R/y6iJLpE1UhaaPBeeSYgNCy7G
 qIQw7u+LpmbVgmC4s1zlrvrQ6E0vww4iI14WHT6cHDTmRfr7cinX0VQo5/6O8tzNtWJH
 RKHg==
X-Gm-Message-State: APjAAAUATG+2ITkCTN7U6aizOUlQ9RSiMJvrhIfpIqkCgcAdAVKCVhqI
 38IN4cCeI4qiDvX+HkL67V2xrrRv
X-Google-Smtp-Source: APXvYqy8sx5BvneH+4rN+ldLeZn4xmegMqen9vMeoVOvbCl+w8RwV3mv1cIAwmWZ/umJW3xV7guHyw==
X-Received: by 2002:a19:431e:: with SMTP id q30mr8462300lfa.171.1568979721501; 
 Fri, 20 Sep 2019 04:42:01 -0700 (PDT)
References: <6ee4c3ff-02fc-02fa-b81d-6e0b900cbea1@gmail.com>
 <657f01e6-2be0-243b-5afd-037b2c24d0fb@basealt.ru>
 <b5580a1c-5e42-3cd8-a75c-a17b4b2d1b4b@gmail.com>
 <e69d9639-6e97-d1cc-596e-1ef26fba94ea@altlinux.org>
 <adf01b13-c798-b18d-761a-6c6984715eaf@altlinux.org>
 <6701e6fd-c1d2-6923-4cc5-c1357704602d@gmail.com>
To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
From: Alexei Mezin <alexei.mezin@gmail.com>
Message-ID: <fe8f2e19-47d5-af0c-a969-3939dffdffbb@gmail.com>
Date: Fri, 20 Sep 2019 14:41:59 +0300
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:60.0) Gecko/20100101
 Thunderbird/60.9.0
MIME-Version: 1.0
In-Reply-To: <6701e6fd-c1d2-6923-4cc5-c1357704602d@gmail.com>
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Language: ru
Content-Transfer-Encoding: 8bit
Subject: Re: [sisyphus]
 =?utf-8?b?0LTQstGD0YXRhNCw0LrRgtC+0YDQvdCw0Y8g0LDRg9GC?=
 =?utf-8?b?0LXQvdGC0LjRhNC40LrQsNGG0LjRjyDRgSBnb29nbGUgYXV0aGVudGljYXRv?=
 =?utf-8?q?r?=
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Sisyphus discussions <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussions <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sisyphus>,
 <mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
 <mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 20 Sep 2019 11:42:03 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/fe8f2e19-47d5-af0c-a969-3939dffdffbb@gmail.com/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

20.09.2019 11:01, Alexei V. Mezin пишет:

> Тогда подскажите, что и как отлаживать. Гугловская часть работает судя 
> по всему:

Так, вот в чем дело (вероятно):
у нас sshd сначала использует

auth           required        pam_userpass.so

который принимает пароль и передает его дальше на

auth           include         common-login-use_first_pass

Именно поэтому используется use_first_pass. И такая схема не 
срабатывает, если надо запросить пароль два раза. Зачем pam_userpass.so 
не очень понятно

pam_userpass is a PAM authentication module for use specifically by
services implementing non-interactive protocols and wishing
to verify a username/password pair.

Наверное это что-то очень нужное для хождения какого-нить git по ключу и 
т.п. Расскажите, что отвалится у "обычного пользователя", если sshd 
будет работать напрямую с

auth            include         system-auth-local

Как минимум удаленный вход на сервер по паролю и sftp не отвалились :)


Кратко резюмируя: вот с таким конфигом как минимум удаленно пускает на 
сервер с применением двухфакторной аутентификации.

# cat /etc/pam.d/sshd
#%PAM-1.0
auth            include         system-auth-local
auth            required        pam_google_authenticator.so 
echo_verification_code nullok
account         include         common-login
password        include         common-login
session         include         common-login