Как да настроите двуфакторно удостоверяване (2FA) за SSH на CentOS 6 с помощта на Google Authenticator

След като промените вашия SSH порт, конфигурирате избиване на портове и направите други настройки за SSH сигурност, може би има още един начин, по който можете да защитите вашия сървър; с помощта на двуфакторна автентификация. С двуфакторна автентификация (2FA), човек ще изисква мобилното ви устройство за достъп до вашия SSH сървър. Това може да бъде полезно за защита срещу всички атаки с груба сила и неоторизирани опити за влизане.

В този урок ще обясня как да конфигурирате 2FA на вашия сървър CentOS 6 със SSH и Google Authenticator.

Стъпка 1: Инсталиране на необходимите пакети

Пакетът "google-authenticator" съществува в хранилището по подразбиране за CentOS. Изпълнете следната команда като root потребител, за да я инсталирате.

yum install pam pam-devel google-authenticator

След като вече сте инсталирали това на вашия сървър, ще трябва да инсталирате приложението „Google Authenticator“ на мобилното си устройство.

• Изтегляне за устройства с Android
• Изтеглете за устройства с iOS

След като го инсталирате, дръжте мобилното си устройство лесно достъпно, защото все още трябва да конфигурираме 2FA.

Стъпка 2: Конфигуриране на софтуера

Първо, влезте чрез SSH като потребител, който искате да защитите.

Изпълнете следната команда:

 google-authenticator

Натиснете "y" при първото съобщение, където ви пита дали искате да актуализирате ./google_authenticatorфайла. Когато ви подкани да забраните няколко употреби, натиснете отново "y", така че друг потребител да не може да използва вашия код. За останалите опции натиснете "y", тъй като всички те подобряват ефективността на този софтуер.

Страхотен! Уверете се, че сте копирали секретния ключ и кодовете за надраскване при спешни случаи на лист хартия.

Сега трябва да конфигурираме PAM да използва 2FA.

За тази статия ще използвам nano като предпочитан текстов редактор. Изпълнете следната команда като root.

nano /etc/pam.d/sshd

Добавете следния ред в горната част на файла.

 auth required pam_google_authenticator.so 

Запазете, след което затворете редактора.

След това конфигурирайте SSH демона да използва 2FA.

nano /etc/ssh/sshd_config

Намерете реда, който прилича на „ChallengeResponseAuthentication no“, и променете „не“ на „да“.

Рестартирайте SSH сървъра:

service sshd restart

Стъпка 3: Конфигуриране на Google Authenticator на вашето мобилно устройство

За да конфигурираме този софтуер, трябва да добавим секретния ключ към него. Намерете опцията „ръчно въвеждане на ключ“ и я докоснете. Въведете секретния ключ, който сте записали по-рано, и запазете. Сега ще се появи код и ще се опреснява от време на време. Това ще ви е необходимо, за да влезете в SSH сървъра отсега нататък.

Заключение

Целта на двуфакторната автентификация е да подобри сигурността на вашия сървър. Тъй като никой друг няма да има достъп до вашето мобилно устройство, той няма да може да разбере кода за влизане във вашия сървър.

Други версии

• Ubuntu
• CentOS