Kahefaktorilise autentimise (2FA) seadistamine SSH jaoks Ubuntu 14.04-s Google Authenticatori abil

SSH kaudu serverisse sisselogimiseks on mitu võimalust. Meetodid hõlmavad parooliga sisselogimist, võtmepõhist sisselogimist ja kahefaktorilist autentimist.

Kahefaktoriline autentimine on palju parem kaitse. Kui teie arvuti satub ohtu, vajab ründaja siiski sisselogimiseks pääsukoodi.

Sellest õpetusest saate teada, kuidas seadistada kahefaktoriline autentimine Ubuntu serveris Google Authenticatori ja SSH abil.

1. samm: eeldused

• Ubuntu 14.04 server (või uuem).
• Sudo juurdepääsuga mittejuurkasutaja.
• Nutitelefon (Android või iOS), kuhu on installitud rakendus Google Authenticator. Võite kasutada ka Authyt või mõnda muud rakendust, mis toetab TOTP-põhiseid sisselogimisi.

2. samm: Google Authenticatori raamatukogu installimine

Peame installima Ubuntu jaoks saadaoleva Google Authenticatori raamatukogu mooduli, mis võimaldab serveril koode lugeda ja kinnitada. Käivitage järgmised käsud.

sudo apt-get update
sudo apt-get install libpam-google-authenticator

3. samm: konfigureerige iga kasutaja jaoks Google Authenticator

Mooduli konfigureerimiseks käivitage lihtsalt järgmine käsk.

google-authenticator

Kui olete käsu käivitanud, küsitakse teilt teatud küsimusi. Esimene küsimus oleks:

Do you want authentication tokens to be time-based (y/n)

Vajutage yja saate QR-koodi, salajase võtme, kinnituskoodi ja hädaolukorra varukoodid.

Võtke telefon välja ja avage rakendus Google Authenticator. Uue kirje lisamiseks saate skannida QR-koodi või lisada salajase võtme. Kui olete seda teinud, märkige varukoodid üles ja hoidke neid kuskil turvalises kohas. Kui teie telefon läheb valesti või saab kahjustatud, saate neid koode sisselogimiseks kasutada.

Ülejäänud küsimuste puhul vajutage nuppu, ykui teil palutakse .google_authenticatorfaili värskendada y, sama loa mitmekordse kasutamise keelamiseks , ajaakna nsuurendamiseks ja ykiiruse piiramise lubamiseks.

Peate 3. sammu kordama kõigi oma arvutis olevate kasutajate jaoks, vastasel juhul ei saa nad pärast selle õpetuse läbimist sisse logida.

4. samm: konfigureerige SSH Google Authenticatori kasutamiseks

Nüüd, kui kõik teie masina kasutajad on oma Google'i autentimisrakenduse seadistanud, on aeg konfigureerida SSH kasutama seda autentimismeetodit praeguse asemel.

sshdFaili redigeerimiseks sisestage järgmine käsk .

sudo nano /etc/pam.d/sshd

Otsige üles rida @include common-authja kommenteerige seda nagu allpool.

# Standard Un*x authentication.
#@include common-auth

Lisage selle faili allossa järgmine rida.

auth required pam_google_authenticator.so

Vajutage Ctrl + Xsalvestamiseks ja väljumiseks.

Järgmisena sisestage sshd_configfaili redigeerimiseks järgmine käsk .

sudo nano /etc/ssh/sshd_config

Otsige üles termin ChallengeResponseAuthenticationja määrake selle väärtuseks yes. Otsige üles ka termin PasswordAuthentication, tühjendage selle kommentaar ja muutke selle väärtuseks no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Järgmine samm on järgmise rea lisamine faili alla.

AuthenticationMethods publickey,keyboard-interactive

Salvestage ja sulgege fail, vajutades Ctrl + X. Nüüd, kui oleme konfigureerinud SSH-serveri Google Authenticatorit kasutama, on aeg see taaskäivitada.

sudo service ssh restart

Proovige uuesti serverisse sisse logida. Seekord küsitakse teilt Authenticatori koodi.

ssh user@serverip

Authenticated with partial success.
Verification code:

Sisestage kood, mille teie rakendus loob ja teid logitakse edukalt sisse.

Märge

Kui kaotate oma telefoni, kasutage 2. sammu varukoode. Kui olete oma varukoodid kaotanud, leiate need alati .google_authenticatorkasutaja kodukataloogi failist pärast Vultr konsooli kaudu sisselogimist.

Järeldus

Mitmefaktoriline autentimine parandab oluliselt teie serveri turvalisust ja võimaldab teil takistada tavalisi jõhkra jõu rünnakuid.

Muud versioonid

• Ubuntu
• CentOS