Sådan konfigureres tofaktorautentificering (2FA) til SSH på Ubuntu 14.04 ved hjælp af Google Authenticator

Der er flere måder at logge ind på en server over SSH. Metoder omfatter adgangskode-login, nøglebaseret login og to-faktor-godkendelse.

To-faktor autentificering er en meget bedre form for beskyttelse. I tilfælde af at din computer bliver kompromitteret, skal hackeren stadig have en adgangskode for at logge på.

I denne vejledning lærer du, hvordan du opsætter to-faktor-godkendelse på en Ubuntu-server ved hjælp af Google Authenticator og SSH.

Trin 1: Forudsætninger

• En Ubuntu 14.04-server (eller nyere).
• En ikke-root-bruger med sudo-adgang.
• En smartphone (Android eller iOS) med Google Authenticator-appen installeret. Du kan også bruge Authy eller enhver anden app, der understøtter TOTP-baserede logins.

Trin 2: Installation af Google Authenticator Library

Vi er nødt til at installere Google Authenticator Library-modulet, der er tilgængeligt for Ubuntu, som vil give serveren mulighed for at læse og validere koder. Kør følgende kommandoer.

sudo apt-get update
sudo apt-get install libpam-google-authenticator

Trin 3: Konfigurer Google Authenticator for hver bruger

For at konfigurere modulet skal du blot køre følgende kommando.

google-authenticator

Når du har kørt kommandoen, vil du blive stillet visse spørgsmål. Det første spørgsmål ville være:

Do you want authentication tokens to be time-based (y/n)

Tryk yog du vil få en QR-kode, hemmelig nøgle, verifikationskode og nødhjælpskoder.

Tag din telefon frem, og åbn Google Authenticator-appen. Du kan enten scanne QR-koden eller tilføje den hemmelige nøgle for at tilføje en ny post. Når du har gjort det, skal du notere backupkoderne og opbevare dem sikkert et sted. I tilfælde af at din telefon bliver forlagt eller beskadiget, kan du bruge disse koder til at logge ind.

For de resterende spørgsmål, tryk på ynår du bliver bedt om at opdatere .google_authenticatorfilen, yfor at forbyde flere brug af samme token, nfor at øge tidsvinduet og for yat aktivere hastighedsbegrænsning.

Du bliver nødt til at gentage trin 3 for alle brugerne på din maskine, ellers vil de ikke være i stand til at logge på, når du er færdig med denne vejledning.

Trin 4: Konfigurer SSH til at bruge Google Authenticator

Nu hvor alle brugere på din maskine har konfigureret deres Google Authenticator-app, er det tid til at konfigurere SSH til at bruge denne godkendelsesmetode over den nuværende.

Indtast følgende kommando for at redigere sshdfilen.

sudo nano /etc/pam.d/sshd

Find linjen @include common-authog kommenter den som nedenfor.

# Standard Un*x authentication.
#@include common-auth

Tilføj følgende linje til bunden af ​​denne fil.

auth required pam_google_authenticator.so

Tryk for Ctrl + Xat gemme og afslutte.

Indtast derefter følgende kommando for at redigere sshd_configfilen.

sudo nano /etc/ssh/sshd_config

Find udtrykket ChallengeResponseAuthenticationog indstil dets værdi til yes. Find også udtrykket PasswordAuthentication, fjern kommentarer til det, og skift dets værdi til no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Næste trin er at tilføje følgende linje til bunden af ​​filen.

AuthenticationMethods publickey,keyboard-interactive

Gem og luk filen ved at trykke på Ctrl + X. Nu hvor vi har konfigureret SSH-serveren til at bruge Google Authenticator, er det tid til at genstarte den.

sudo service ssh restart

Prøv at logge ind på serveren igen. Denne gang bliver du bedt om din Authenticator-kode.

ssh user@serverip

Authenticated with partial success.
Verification code:

Indtast koden, som din app genererer, og du vil blive logget ind.

Bemærk

I tilfælde af at du mister din telefon, skal du bruge backupkoderne fra trin 2. Hvis du har mistet dine backupkoder, kan du altid finde dem i .google_authenticatorfilen under brugerens hjemmebibliotek, efter du har logget ind via Vultr-konsollen.

Konklusion

At have multiple-faktor-godkendelse forbedrer din servers sikkerhed i høj grad og giver dig mulighed for at hjælpe med at forhindre almindelige brute force-angreb.

Andre versioner

• Ubuntu
• CentOS