Kuidas seadistada kahefaktoriline autentimine (2FA) SSH jaoks Debian 9-s, kasutades Google Authenticatorit

SSH kaudu serverisse sisselogimiseks on mitu võimalust. Meetodid hõlmavad parooliga sisselogimist, võtmepõhist sisselogimist ja kahefaktorilist autentimist.

Kahefaktoriline autentimine on palju parem kaitse. Kui teie arvuti satub ohtu, vajab ründaja siiski sisselogimiseks pääsukoodi.

Sellest õpetusest saate teada, kuidas seadistada kahefaktoriline autentimine Debian 9-s Google Authenticatori ja SSH abil.

Eeltingimused

• Debian 9 server (või uuem).
• Sudo juurdepääsuga mittejuurkasutaja.
• Nutitelefon (Android või iOS), kuhu on installitud rakendus Google Authenticator. Võite kasutada ka Authyt või mõnda muud rakendust, mis toetab ajapõhist ühekordset parooli (TOTP) sisselogimist.

1. samm: Google Authenticatori teegi installimine

Peame installima Debiani jaoks saadaoleva Google Authenticator Library mooduli, mis võimaldab serveril koode lugeda ja kinnitada.

sudo apt update
sudo apt install libpam-google-authenticator -y

2. samm: konfigureerige iga kasutaja jaoks Google Authenticator

Seadistage moodul.

google-authenticator

Kui olete käsu käivitanud, küsitakse teilt teatud küsimusi. Esimene küsimus saab olemaDo you want authentication tokens to be time-based (y/n)

Vajutage Yja saate QR-koodi, salajase võtme, kinnituskoodi ja hädaolukorra varukoodid.

Võtke telefon välja ja avage rakendus Google Authenticator. Uue kirje lisamiseks saate skannida QR-koodi või lisada salajase võtme. Kui olete seda teinud, märkige üles varukoodid ja hoidke neid kuskil. Kui teie telefon läheb valesti või saab kahjustatud, saate neid koode sisselogimiseks kasutada.

Ülejäänud küsimuste puhul vajutage nuppu, Ykui teil palutakse .google_authenticatorfaili värskendada , Ysama loa mitmekordse kasutamise keelamiseks , ajaakna Nsuurendamiseks ja Ykiiruse piiramise lubamiseks.

Peate seda sammu kordama kõigi oma masina kasutajate jaoks, vastasel juhul ei saa nad pärast õpetuse läbimist sisse logida.

3. samm: konfigureerige SSH Google Authenticatori kasutamiseks

Nüüd, kui kõik teie masina kasutajad on oma Google'i autentimisrakenduse seadistanud, on aeg konfigureerida SSH kasutama seda autentimismeetodit praeguse asemel.

sshdFaili redigeerimiseks sisestage järgmine käsk .

sudo nano /etc/pam.d/sshd

Otsige üles rida @include common-authja kommenteerige seda, nagu allpool näidatud.

# Standard Un*x authentication.
#@include common-auth

Lisage selle faili allossa järgmine rida.

auth required pam_google_authenticator.so

Salvestamiseks ja väljumiseks vajutage CTRL+ X.

Järgmisena sisestage sshd_configfaili redigeerimiseks järgmine käsk .

sudo nano /etc/ssh/sshd_config

Otsige üles termin ChallengeResponseAuthenticationja määrake selle väärtuseks yes. Otsige üles ka termin PasswordAuthentication, tühjendage selle kommentaar ja muutke selle väärtuseks no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Järgmine samm on järgmise rea lisamine faili alla.

AuthenticationMethods publickey,keyboard-interactive

Salvestage ja sulgege fail, vajutades CTRL+ X. Nüüd, kui oleme konfigureerinud SSH-serveri Google Authenticatorit kasutama, on aeg see taaskäivitada.

sudo service ssh restart

Proovige uuesti serverisse sisse logida. Seekord küsitakse teilt Authenticatori koodi.

ssh user@serverip

Authenticated with partial success.
Verification code:

Sisestage kood, mille teie rakendus loob ja teid logitakse edukalt sisse.

Märge

Kui kaotate oma telefoni, kasutage 2. sammu varukoode. Kui olete oma varukoodid kaotanud, leiate need alati .google_authenticatorkasutaja kodukataloogi failist pärast Vultri konsooli kaudu sisselogimist.

Järeldus

Kahefaktoriline autentimine parandab oluliselt teie serveri turvalisust ja võimaldab teil aidata tõkestada tavalisi toore jõu rünnakuid.