bật pam.d/googleAuthenticator/Xác thực 2 yếu tố trong sshd ngăn Kết nối phiên bản EC2 truy cập phiên bản

Câu hỏi: có thể định cấu hình SSHD để thực thi 2 yếu tố cho tất cả người dùng, đồng thời cho phép AWS EC2 Instance Connect tiếp tục hoạt động không?

AWS có tính năng "Kết nối phiên bản EC2" cung cấp một cách để truy cập với tư cách người dùng từ Bảng điều khiển AWS. Nó sử dụng API AWS để đặt khóa công khai tạm thời trên phiên bản rồi kết nối qua ssh. (Ít nhất, tôi nghĩ đó là những gì nó làm)

tôi đã theo dõi cái này hướng dẫn thêm multi-factor vào ssh, tuy nhiên, nó phá vỡ khả năng kết nối với phiên bản này từ EC2 Instance Connect.

Tôi tin rằng nó không kết nối được, vì dòng này trong/etc/ssh/sshd_config: AuthenticationMethods khóa công khai, bàn phím tương tác -- vì AWS chỉ kết nối bằng khóa chung.

Tuy nhiên, bài báo đó tiếp tục gợi ý rằng vô hiệu cấu hình trong /etc/pam.d/sshd nên cho phép người dùng bỏ qua 2 yếu tố nếu họ chưa định cấu hình (nếu ~/.google_authenticator không tồn tại trong thư mục chính của người dùng), điều mà người dùng root và ec2 của tôi không có. Tuy nhiên, tôi vẫn không thể kết nối từ bảng điều khiển với tư cách là người dùng root hoặc ec2.

Vì vậy, vâng - có cách nào để điều này hoạt động cho cả hai tình huống không? Cảm ơn bạn!