Jak nastavit dvoufaktorové ověřování (2FA) pro SSH na CentOS 6 pomocí Google Authenticator

Po změně vašeho portu SSH, konfiguraci klepání portu a provedení dalších vylepšení zabezpečení SSH existuje možná ještě jeden způsob, jak můžete chránit svůj server; pomocí dvoufaktorové autentizace. S dvoufaktorovou autentizací (2FA) by osoba vyžadovala, aby vaše mobilní zařízení přistupovalo k vašemu SSH serveru. To může být užitečné pro ochranu proti všem útokům hrubou silou a neoprávněným pokusům o přihlášení.

V tomto tutoriálu vysvětlím, jak nakonfigurovat 2FA na vašem serveru CentOS 6 pomocí SSH a Google Authenticator.

Krok 1: Instalace požadovaných balíčků

Balíček „google-authenticator“ existuje ve výchozím úložišti pro CentOS. Spusťte následující příkaz jako uživatel root a nainstalujte jej.

yum install pam pam-devel google-authenticator

Nyní, když to máte na svém serveru nainstalované, budete si muset do svého mobilního zařízení nainstalovat aplikaci „Google Authenticator“.

• Stáhnout pro zařízení Android
• Stáhnout pro zařízení iOS

Po instalaci mějte své mobilní zařízení snadno dostupné, protože stále potřebujeme nakonfigurovat 2FA.

Krok 2: Konfigurace softwaru

Nejprve se přihlaste přes SSH jako uživatel, kterého chcete zabezpečit.

Proveďte následující příkaz:

 google-authenticator

Stiskněte "y" v první zprávě, kde se vás zeptá, zda chcete ./google_authenticatorsoubor aktualizovat . Když vás vyzve, abyste zakázali více použití, stiskněte znovu „y“, aby váš kód nemohl použít jiný uživatel. U zbývajících možností stiskněte „y“, protože všechny zlepšují efektivitu tohoto softwaru.

Skvělý! Ujistěte se, že jste si opsali tajný klíč a nouzové stírací kódy na kus papíru.

Nyní musíme nakonfigurovat PAM tak, aby používal 2FA.

Pro tento článek budu používat nano jako preferovaný textový editor. Proveďte následující příkaz jako root.

nano /etc/pam.d/sshd

Přidejte následující řádek na začátek souboru.

 auth required pam_google_authenticator.so 

Uložte a zavřete editor.

Dále nakonfigurujte démona SSH tak, aby používal 2FA.

nano /etc/ssh/sshd_config

Najděte řádek, který se podobá „ChallengeResponseAuthentication no“ a změňte „no“ na „yes“.

Restartujte SSH server:

service sshd restart

Krok 3: Konfigurace aplikace Google Authenticator na vašem mobilním zařízení

Abychom nakonfigurovali tento software, musíme do něj přidat tajný klíč. Najděte možnost „ručně zadat klíč“ a klepněte na ni. Zadejte tajný klíč, který jste si zapsali dříve, a uložte. Nyní se objeví kód, který se bude často obnovovat. Od této chvíle to budete potřebovat pro přihlášení k serveru SSH.

Závěr

Účelem dvoufaktorové autentizace je zlepšit zabezpečení vašeho serveru. Protože nikdo jiný nebude mít přístup k vašemu mobilnímu zařízení, nebude schopen zjistit kód pro přihlášení k vašemu serveru.

Jiné verze

• Ubuntu
• CentOS