Как да настроите двуфакторно удостоверяване (2FA) за SSH на Debian 9 с помощта на Google Authenticator

Има няколко начина за влизане в сървър през SSH. Методите включват влизане с парола, влизане с ключ и двуфакторно удостоверяване.

Двуфакторната автентификация е много по-добър вид защита. В случай, че компютърът ви бъде компрометиран, нападателят все още ще се нуждае от код за достъп, за да влезе.

В този урок ще научите как да настроите двуфакторно удостоверяване на Debian 9 с помощта на Google Authenticator и SSH.

Предпоставки

• Сървър на Debian 9 (или по-нов).
• Потребител без root права с достъп до sudo.
• Смарт телефон (Android или iOS) с инсталирано приложение Google Authenticator. Можете също да използвате Authy или всяко друго приложение, поддържащо влизания с еднократна парола, базирана на време (TOTP).

Стъпка 1: Инсталиране на библиотеката на Google Authenticator

Трябва да инсталираме модула Google Authenticator Library, наличен за Debian, който ще позволи на сървъра да чете и валидира кодове.

sudo apt update
sudo apt install libpam-google-authenticator -y

Стъпка 2: Конфигурирайте Google Authenticator за всеки потребител

Конфигурирайте модула.

google-authenticator

След като изпълните командата, ще ви бъдат зададени определени въпроси. Първият въпрос ще бъдеDo you want authentication tokens to be time-based (y/n)

Натиснете Yи ще получите QR код, таен ключ, код за потвърждение и резервни кодове за спешни случаи.

Извадете телефона си и отворете приложението Google Authenticator. Можете да сканирате QR кода или да добавите секретния ключ, за да добавите нов запис. След като направите това, забележете резервните кодове и ги пазете на сигурно място. В случай, че телефонът ви бъде изгубен или повреден, можете да използвате тези кодове, за да влезете.

За останалите въпроси натиснете, Yкогато бъдете помолени да актуализирате .google_authenticatorфайла, Yза да забраните многократното използване на един и същи маркер, Nза увеличаване на времевия прозорец и Yза активиране на ограничаване на скоростта.

Ще трябва да повторите тази стъпка за всички потребители на вашата машина, в противен случай те няма да могат да влязат, след като приключите с този урок.

Стъпка 3: Конфигурирайте SSH за използване на Google Authenticator

Сега, когато всички потребители на вашата машина са настроили своето приложение за удостоверяване на Google, е време да конфигурирате SSH да използва този метод за удостоверяване спрямо текущия.

Въведете следната команда, за да редактирате sshdфайла.

sudo nano /etc/pam.d/sshd

Намерете реда @include common-authи го коментирайте, както е показано по-долу.

# Standard Un*x authentication.
#@include common-auth

Добавете следния ред в долната част на този файл.

auth required pam_google_authenticator.so

Натиснете CTRL+, за Xда запазите и излезете.

След това въведете следната команда, за да редактирате sshd_configфайла.

sudo nano /etc/ssh/sshd_config

Намерете термина ChallengeResponseAuthenticationи задайте стойността му на yes. Също така намерете термина PasswordAuthentication, разкоментирайте го и променете стойността му на no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Следващата стъпка е да добавите следния ред в долната част на файла.

AuthenticationMethods publickey,keyboard-interactive

Запазете и затворете файла, като натиснете CTRL+ X. Сега, когато конфигурирахме SSH сървъра да използва Google Authenticator, е време да го рестартираме.

sudo service ssh restart

Опитайте да влезете отново в сървъра. Този път ще бъдете помолени за вашия код на Authenticator.

ssh user@serverip

Authenticated with partial success.
Verification code:

Въведете кода, който вашето приложение генерира и ще влезете успешно.

Забележка

В случай, че загубите телефона си, използвайте резервните кодове от Стъпка 2. Ако сте загубили резервните си кодове, винаги можете да ги намерите във .google_authenticatorфайла под домашната директория на потребителя, след като влезете през конзолата Vultr.

Заключение

Наличието на двуфакторна автентификация значително подобрява сигурността на вашия сървър и ви позволява да помогнете да предотвратите често срещаните атаки с груба сила.