Sådan konfigureres tofaktorautentificering (2FA) til SSH på CentOS 6 ved hjælp af Google Authenticator

Efter at have ændret din SSH-port, konfigureret portbankning og lavet andre tweaks til SSH-sikkerhed, er der måske endnu en måde, hvorpå du kan beskytte din server; ved hjælp af to-faktor autentificering. Med tofaktorautentificering (2FA) vil en person kræve, at din mobile enhed får adgang til din SSH-server. Dette kan være nyttigt for at beskytte mod alle brute forcering-angreb og uautoriserede loginforsøg.

I denne vejledning vil jeg forklare, hvordan du konfigurerer 2FA på din CentOS 6-server med SSH og Google Authenticator.

Trin 1: Installation af de nødvendige pakker

Pakken "google-authenticator" findes i standardlageret for CentOS. Kør følgende kommando som root-bruger for at installere den.

yum install pam pam-devel google-authenticator

Nu hvor du har dette installeret på din server, skal du installere appen "Google Authenticator" på din mobilenhed.

• Download til Android-enheder
• Download til iOS-enheder

Når du har installeret det, skal du holde din mobile enhed let tilgængelig, fordi vi stadig mangler at konfigurere 2FA.

Trin 2: Konfiguration af softwaren

Først skal du logge ind via SSH som den bruger, du ønsker at sikre.

Udfør følgende kommando:

 google-authenticator

Tryk på "y" ved den første besked, hvor den spørger dig, om du vil opdatere ./google_authenticatorfilen. Når den beder dig om at afvise flere anvendelser, skal du trykke på "y" igen, så en anden bruger ikke kan bruge din kode. For resten af ​​mulighederne, tryk "y", da de alle forbedrer effektiviteten af ​​denne software.

Store! Sørg for at kopiere den hemmelige nøgle og nødskrabekoderne ned på et stykke papir.

Nu skal vi konfigurere PAM til at bruge 2FA.

Til denne artikel vil jeg bruge nano som den foretrukne teksteditor. Udfør følgende kommando som root.

nano /etc/pam.d/sshd

Tilføj følgende linje til toppen af ​​filen.

 auth required pam_google_authenticator.so 

Gem, og luk derefter editoren.

Konfigurer derefter SSH-dæmonen til at bruge 2FA.

nano /etc/ssh/sshd_config

Find den linje, der ligner "ChallengeResponseAuthentication no", og skift "no" til "yes".

Genstart SSH-serveren:

service sshd restart

Trin 3: Konfiguration af Google Authenticator på din mobilenhed

For at konfigurere denne software skal vi tilføje den hemmelige nøgle til den. Find indstillingen "manuel indtastningstast", og tryk på den. Indtast den hemmelige nøgle, du skrev ned tidligere, og gem. En kode dukker nu op, og den opdateres med jævne mellemrum. Du skal bruge dette for at logge på SSH-serveren fra nu af.

Konklusion

Formålet med tofaktorautentificering er at forbedre sikkerheden på din server. Da ingen andre vil have adgang til din mobile enhed, vil de ikke være i stand til at finde ud af koden for at logge ind på din server.

Andre versioner

• Ubuntu
• CentOS