Jak nastavit dvoufaktorové ověřování (2FA) pro SSH na Debianu 9 pomocí Google Authenticator

Existuje několik způsobů, jak se přihlásit na server přes SSH. Mezi metody patří přihlašování pomocí hesla, přihlašování pomocí klíče a dvoufaktorové ověřování.

Dvoufaktorová autentizace je mnohem lepším typem ochrany. V případě, že dojde ke kompromitaci vašeho počítače, bude útočník stále potřebovat přístupový kód pro přihlášení.

V tomto tutoriálu se dozvíte, jak nastavit dvoufaktorové ověřování na Debianu 9 pomocí Google Authenticator a SSH.

Předpoklady

• Server Debian 9 (nebo novější).
• Uživatel bez oprávnění root s přístupem sudo.
• Chytrý telefon (Android nebo iOS) s nainstalovanou aplikací Google Authenticator. Můžete také použít Authy nebo jakoukoli jinou aplikaci podporující přihlášení pomocí jednorázového hesla (TOTP).

Krok 1: Instalace knihovny Google Authenticator Library

Potřebujeme nainstalovat modul Google Authenticator Library dostupný pro Debian, který serveru umožní číst a ověřovat kódy.

sudo apt update
sudo apt install libpam-google-authenticator -y

Krok 2: Nakonfigurujte aplikaci Google Authenticator pro každého uživatele

Nakonfigurujte modul.

google-authenticator

Jakmile příkaz spustíte, budete dotázáni na určité otázky. První otázka budeDo you want authentication tokens to be time-based (y/n)

Stiskněte Ya získáte QR kód, tajný klíč, ověřovací kód a nouzové záložní kódy.

Vyjměte telefon a otevřete aplikaci Google Authenticator. Můžete buď naskenovat QR kód, nebo přidat tajný klíč a přidat nový záznam. Jakmile to uděláte, poznamenejte si záložní kódy a uložte je někde v bezpečí. V případě, že se váš telefon ztratí nebo se poškodí, můžete se pomocí těchto kódů přihlásit.

U zbývajících otázek stiskněte Ypo zobrazení výzvy k aktualizaci .google_authenticatorsouboru, Ypro zakázání vícenásobného použití stejného tokenu, Npro prodloužení časového okna a Ypro povolení omezení rychlosti.

Tento krok budete muset opakovat pro všechny uživatele na vašem počítači, jinak se nebudou moci přihlásit, jakmile dokončíte tento tutoriál.

Krok 3: Nakonfigurujte SSH tak, aby používal Google Authenticator

Nyní, když si všichni uživatelé na vašem počítači nastavili svou aplikaci pro ověřování Google, je čas nakonfigurovat SSH tak, aby používal tuto metodu ověřování oproti stávající.

Pro úpravu sshdsouboru zadejte následující příkaz .

sudo nano /etc/pam.d/sshd

Najděte řádek @include common-autha zakomentujte jej, jako je znázorněno níže.

# Standard Un*x authentication.
#@include common-auth

Přidejte následující řádek na konec tohoto souboru.

auth required pam_google_authenticator.so

Stiskněte CTRL+ Xpro uložení a ukončení.

Dále zadejte následující příkaz pro úpravu sshd_configsouboru.

sudo nano /etc/ssh/sshd_config

Najděte termín ChallengeResponseAuthenticationa nastavte jeho hodnotu na yes. Také vyhledejte výraz PasswordAuthentication, zrušte jeho komentář a změňte jeho hodnotu na no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Dalším krokem je přidání následujícího řádku na konec souboru.

AuthenticationMethods publickey,keyboard-interactive

Uložte a zavřete soubor stisknutím CTRL+ X. Nyní, když jsme nakonfigurovali server SSH, aby používal Google Authenticator, je čas jej restartovat.

sudo service ssh restart

Zkuste se znovu přihlásit na server. Tentokrát budete požádáni o kód Authenticator.

ssh user@serverip

Authenticated with partial success.
Verification code:

Zadejte kód, který vaše aplikace vygeneruje, a budete úspěšně přihlášeni.

Poznámka

V případě ztráty telefonu použijte záložní kódy z kroku 2. Pokud jste záložní kódy ztratili, můžete je vždy najít v .google_authenticatorsouboru v domovském adresáři uživatele po přihlášení přes konzoli Vultr.

Závěr

Dvoufaktorová autentizace výrazně zlepšuje zabezpečení vašeho serveru a umožňuje vám pomoci zmařit běžné útoky hrubou silou.