Начало » » Как да настроите двуфакторно удостоверяване (2FA) за SSH на Ubuntu 14.04 с помощта на Google Authenticator

Как да настроите двуфакторно удостоверяване (2FA) за SSH на Ubuntu 14.04 с помощта на Google Authenticator

  • Стъпка 1: Предпоставки
  • Стъпка 2: Инсталиране на Google Authenticator Library
  • Стъпка 3: Конфигурирайте Google Authenticator за всеки потребител
  • Стъпка 4: Конфигурирайте SSH за използване на Google Authenticator
  • Забележка
  • Заключение

    • Има няколко начина за влизане в сървър през SSH. Методите включват влизане с парола, влизане с ключ и двуфакторно удостоверяване.

    Двуфакторната автентификация е много по-добър вид защита. В случай, че компютърът ви бъде компрометиран, нападателят все още ще се нуждае от код за достъп, за да влезе.

    В този урок ще научите как да настроите двуфакторно удостоверяване на сървър на Ubuntu с помощта на Google Authenticator и SSH.

    Стъпка 1: Предпоставки

    • Сървър на Ubuntu 14.04 (или по-нов).
    • Потребител без root права с достъп до sudo.
    • Смарт телефон (Android или iOS) с инсталирано приложение Google Authenticator. Можете също да използвате Authy или всяко друго приложение, поддържащо регистриране на базата на TOTP.

    Стъпка 2: Инсталиране на Google Authenticator Library

    Трябва да инсталираме модула Google Authenticator Library, наличен за Ubuntu, който ще позволи на сървъра да чете и валидира кодове. Изпълнете следните команди.

    sudo apt-get update
sudo apt-get install libpam-google-authenticator

    Стъпка 3: Конфигурирайте Google Authenticator за всеки потребител

    За да конфигурирате модула, просто изпълнете следната команда.

    google-authenticator

    След като изпълните командата, ще ви бъдат зададени определени въпроси. Първият въпрос би бил:

    Do you want authentication tokens to be time-based (y/n)

    Натиснете yи ще получите QR код, таен ключ, код за потвърждение и резервни кодове за спешни случаи.

    Извадете телефона си и отворете приложението Google Authenticator. Можете да сканирате QR кода или да добавите секретния ключ, за да добавите нов запис. След като направите това, запишете резервните кодове и ги пазете на сигурно място. В случай, че телефонът ви бъде изгубен или повреден, можете да използвате тези кодове, за да влезете.

    За останалите въпроси натиснете, yкогато бъдете помолени да актуализирате .google_authenticatorфайла, yза да забраните многократното използване на един и същи маркер, nза увеличаване на времевия прозорец и yза активиране на ограничаване на скоростта.

    Ще трябва да повторите стъпка 3 за всички потребители на вашата машина, в противен случай те няма да могат да влязат, след като приключите с този урок.

    Стъпка 4: Конфигурирайте SSH за използване на Google Authenticator

    Сега, когато всички потребители на вашата машина са настроили своето приложение за удостоверяване на Google, е време да конфигурирате SSH да използва този метод за удостоверяване спрямо текущия.

    Въведете следната команда, за да редактирате sshdфайла.

    sudo nano /etc/pam.d/sshd

    Намерете реда @include common-authи го коментирайте по-долу.

    # Standard Un*x authentication.
#@include common-auth

    Добавете следния ред в долната част на този файл.

    auth required pam_google_authenticator.so

    Натиснете, за Ctrl + Xда запазите и излезете.

    След това въведете следната команда, за да редактирате sshd_configфайла.

    sudo nano /etc/ssh/sshd_config

    Намерете термина ChallengeResponseAuthenticationи задайте стойността му на yes. Също така намерете термина PasswordAuthentication, разкоментирайте го и променете стойността му на no.

    # Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

    Следващата стъпка е да добавите следния ред в долната част на файла.

    AuthenticationMethods publickey,keyboard-interactive

    Запазете и затворете файла, като натиснете Ctrl + X. Сега, когато конфигурирахме SSH сървъра да използва Google Authenticator, е време да го рестартираме.

    sudo service ssh restart

    Опитайте да влезете отново в сървъра. Този път ще бъдете помолени за вашия код на Authenticator.

    ssh user@serverip

Authenticated with partial success.
Verification code:

    Въведете кода, който вашето приложение генерира и ще влезете успешно.

    Забележка

    В случай, че загубите телефона си, използвайте резервните кодове от Стъпка 2. Ако сте загубили резервните си кодове, винаги можете да ги намерите във .google_authenticatorфайла под домашната директория на потребителя, след като влезете през конзолата Vultr.

    Заключение

    Наличието на многофакторна автентификация значително подобрява сигурността на вашия сървър и ви позволява да помогнете да предотвратите често срещаните атаки с груба сила.

    Други версии

    Оставете коментар

    Възходът на машините: Реални приложения на AI

    Възходът на машините: Реални приложения на AI

    Изкуственият интелект не е в бъдещето, тук е точно в настоящето. В този блог Прочетете как приложенията за изкуствен интелект са повлияли на различни сектори.

    DDOS атаки: кратък преглед

    DDOS атаки: кратък преглед

    Вие също сте жертва на DDOS атаки и сте объркани относно методите за превенция? Прочетете тази статия, за да разрешите вашите запитвания.

    Чудили ли сте се как хакерите печелят пари?

    Чудили ли сте се как хакерите печелят пари?

    Може би сте чували, че хакерите печелят много пари, но чудили ли сте се някога как печелят такива пари? нека обсъдим.

    Революционни изобретения на Google, които ще улеснят живота ви.

    Революционни изобретения на Google, които ще улеснят живота ви.

    Искате ли да видите революционни изобретения на Google и как тези изобретения промениха живота на всяко човешко същество днес? След това прочетете в блога, за да видите изобретенията на Google.

    Friday Essential: Какво се случи с колите, задвижвани от изкуствен интелект?

    Friday Essential: Какво се случи с колите, задвижвани от изкуствен интелект?

    Концепцията за самоуправляващи се автомобили да тръгват по пътищата с помощта на изкуствен интелект е мечта, която имаме от известно време. Но въпреки няколкото обещания, те не се виждат никъде. Прочетете този блог, за да научите повече…

    Технологична сингулярност: далечно бъдеще на човешката цивилизация?

    Технологична сингулярност: далечно бъдеще на човешката цивилизация?

    Тъй като науката се развива с бързи темпове, поемайки много от нашите усилия, рискът да се подложим на необяснима сингулярност също нараства. Прочетете какво може да означава сингулярността за нас.

    Функционалности на референтните архитектурни слоеве за големи данни

    Функционалности на референтните архитектурни слоеве за големи данни

    Прочетете блога, за да разберете различни слоеве в архитектурата на големи данни и техните функционалности по най-простия начин.

    Еволюция на съхранението на данни – инфографика

    Еволюция на съхранението на данни – инфографика

    Методите за съхранение на данните може да се развиват от раждането на данните. Този блог обхваща развитието на съхранението на данни на базата на инфографика.

    6 невероятни предимства от наличието на интелигентни домашни устройства в живота ни

    6 невероятни предимства от наличието на интелигентни домашни устройства в живота ни

    В този дигитално задвижван свят устройствата за интелигентен дом се превърнаха в решаваща част от живота. Ето няколко невероятни предимства на интелигентните домашни устройства за това как те правят живота ни струващ и по-опростен.

    Актуализацията на допълнението на macOS Catalina 10.15.4 причинява повече проблеми, отколкото решава

    Актуализацията на допълнението на macOS Catalina 10.15.4 причинява повече проблеми, отколкото решава

    Наскоро Apple пусна macOS Catalina 10.15.4 допълнителна актуализация за отстраняване на проблеми, но изглежда, че актуализацията причинява повече проблеми, водещи до блокиране на mac машини. Прочетете тази статия, за да научите повече