Kahefaktorilise autentimise (2FA) seadistamine SSH jaoks CentOS 6-s Google Authenticatori abil

Pärast SSH-pordi muutmist, pordi koputamise konfigureerimist ja muude SSH-turvalisuse muudatuste tegemist on võib-olla veel üks viis oma serveri kaitsmiseks. kasutades kahefaktorilist autentimist. Kahefaktorilise autentimise (2FA) korral nõuab inimene teie mobiilseadmelt juurdepääsu teie SSH-serverile. See võib olla kasulik kaitseks kõigi jõhkrate sundrünnakute ja volitamata sisselogimiskatsete eest.

Selles õpetuses selgitan, kuidas konfigureerida 2FA-d oma CentOS 6 serveris SSH ja Google Authenticatoriga.

1. samm: vajalike pakettide installimine

CentOS-i vaikehoidlas on pakett "google-authenticator". Käivitage järgmine käsk selle installimiseks juurkasutajana.

yum install pam pam-devel google-authenticator

Nüüd, kui olete selle oma serverisse installinud, peate installima oma mobiilseadmesse rakenduse Google Authenticator.

• Laadige alla Android-seadmete jaoks
• Laadige alla iOS-i seadmete jaoks

Pärast selle installimist hoidke oma mobiilseade hõlpsasti kättesaadavana, sest peame ikkagi 2FA konfigureerima.

2. samm: tarkvara konfigureerimine

Esiteks logige SSH kaudu sisse kasutajana, keda soovite kaitsta.

Käivitage järgmine käsk:

 google-authenticator

Vajutage "y" esimeses sõnumis, kus see küsib, kas soovite ./google_authenticatorfaili värskendada . Kui see palub teil mitu kasutust keelata, vajutage uuesti "y", et teine ​​​​kasutaja ei saaks teie koodi kasutada. Ülejäänud valikute jaoks vajutage "y", kuna need kõik parandavad selle tarkvara tõhusust.

Suurepärane! Kopeerige kindlasti salajane võti ja hädaabikoodid paberile.

Nüüd peame konfigureerima PAM-i kasutama 2FA-d.

Selle artikli jaoks kasutan eelistatud tekstiredaktorina nano. Käivitage järgmine käsk administraatorina.

nano /etc/pam.d/sshd

Lisage faili ülaossa järgmine rida.

 auth required pam_google_authenticator.so 

Salvestage ja seejärel sulgege redaktor.

Järgmisena konfigureerige SSH-deemon kasutama 2FA-d.

nano /etc/ssh/sshd_config

Leidke rida, mis sarnaneb "ChallengeResponseAuthentication ei" ja muutke "ei" väärtuseks "jah".

Taaskäivitage SSH-server:

service sshd restart

3. samm: Google Authenticatori konfigureerimine oma mobiilseadmes

Selle tarkvara konfigureerimiseks peame sellesse lisama salajase võtme. Leidke valik "klahvi käsitsi sisestamine" ja puudutage seda. Sisestage salajane võti, mille varem üles kirjutasite, ja salvestage. Nüüd kuvatakse kood ja seda värskendatakse aeg-ajalt. Seda vajate nüüdsest SSH-serverisse sisselogimiseks.

Järeldus

Kahefaktorilise autentimise eesmärk on parandada teie serveri turvalisust. Kuna kellelgi teisel pole juurdepääsu teie mobiilseadmele, ei saa nad teie serverisse sisselogimise koodi välja selgitada.

Muud versioonid

• Ubuntu
• CentOS