Kahden tekijän todennuksen (2FA) määrittäminen SSH:lle Ubuntu 14.04:ssä Google Authenticatorin avulla

On olemassa useita tapoja kirjautua palvelimelle SSH:n kautta. Menetelmiä ovat sisäänkirjautuminen salasanalla, avainpohjainen kirjautuminen ja kaksivaiheinen todennus.

Kaksivaiheinen todennus on paljon parempi suojatyyppi. Jos tietokoneesi vaarantuu, hyökkääjä tarvitsee silti pääsykoodin kirjautuakseen sisään.

Tässä opetusohjelmassa opit määrittämään kaksivaiheisen todennuksen Ubuntu-palvelimella Google Authenticatorin ja SSH:n avulla.

Vaihe 1: Edellytykset

• Ubuntu 14.04 -palvelin (tai uudempi).
• Ei-root-käyttäjä, jolla on sudo-käyttöoikeus.
• Älypuhelin (Android tai iOS), johon on asennettu Google Authenticator -sovellus. Voit myös käyttää Authya tai mitä tahansa muuta TOTP-pohjaista kirjautumista tukevaa sovellusta.

Vaihe 2: Asenna Google Authenticator -kirjasto

Meidän on asennettava Ubuntuun saatavilla oleva Google Authenticator Library -moduuli, jonka avulla palvelin voi lukea ja vahvistaa koodeja. Suorita seuraavat komennot.

sudo apt-get update
sudo apt-get install libpam-google-authenticator

Vaihe 3: Määritä Google Authenticator jokaiselle käyttäjälle

Voit määrittää moduulin suorittamalla seuraavan komennon.

google-authenticator

Kun suoritat komennon, sinulta kysytään tiettyjä kysymyksiä. Ensimmäinen kysymys olisi:

Do you want authentication tokens to be time-based (y/n)

Paina yja saat QR-koodin, salaisen avaimen, vahvistuskoodin ja hätävarakoodit.

Ota puhelimesi esiin ja avaa Google Authenticator -sovellus. Voit joko skannata QR-koodin tai lisätä salaisen avaimen lisätäksesi uuden merkinnän. Kun olet tehnyt sen, kirjoita varakoodit muistiin ja säilytä ne jossain tallessa. Jos puhelimesi katoaa tai vaurioituu, voit käyttää näitä koodeja kirjautumiseen.

Jäljellä olevissa kysymyksissä paina -näppäintä, ykun sitä pyydetään päivittämään .google_authenticatortiedosto, yjos haluat estää saman tunnuksen usean käytön, nlisätäksesi aikaikkunaa ja yottaaksesi nopeudenrajoituksen käyttöön.

Sinun on toistettava vaihe 3 kaikille koneesi käyttäjille, muuten he eivät voi kirjautua sisään, kun olet suorittanut tämän opetusohjelman.

Vaihe 4: Määritä SSH käyttämään Google Authenticatoria

Nyt kun kaikki laitteesi käyttäjät ovat määrittäneet Google-todennussovelluksensa, on aika määrittää SSH käyttämään tätä todennusmenetelmää nykyisen sijaan.

Muokkaa sshdtiedostoa antamalla seuraava komento .

sudo nano /etc/pam.d/sshd

Etsi rivi @include common-authja kommentoi se alla.

# Standard Un*x authentication.
#@include common-auth

Lisää seuraava rivi tämän tiedoston alaosaan.

auth required pam_google_authenticator.so

Paina Ctrl + Xtallentaaksesi ja poistuaksesi.

Kirjoita seuraavaksi seuraava komento muokataksesi sshd_configtiedostoa.

sudo nano /etc/ssh/sshd_config

Etsi termi ChallengeResponseAuthenticationja aseta sen arvoksi yes. Etsi myös termi PasswordAuthentication, poista sen kommentti ja muuta sen arvoksi no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Seuraava vaihe on lisätä seuraava rivi tiedoston alaosaan.

AuthenticationMethods publickey,keyboard-interactive

Tallenna ja sulje tiedosto painamalla Ctrl + X. Nyt kun olemme määrittäneet SSH-palvelimen käyttämään Google Authenticatoria, on aika käynnistää se uudelleen.

sudo service ssh restart

Yritä kirjautua takaisin palvelimelle. Tällä kertaa sinulta kysytään Authenticator-koodiasi.

ssh user@serverip

Authenticated with partial success.
Verification code:

Anna sovelluksesi luoma koodi, niin kirjaudut sisään onnistuneesti.

Merkintä

Jos kadotat puhelimesi, käytä vaiheen 2 varakoodeja. Jos .google_authenticatorkadotit varakoodisi, löydät ne aina käyttäjän kotihakemiston tiedostosta, kun olet kirjautunut sisään Vultr-konsolin kautta.

Johtopäätös

Monitekijätodennus parantaa huomattavasti palvelimesi turvallisuutta ja auttaa estämään yleisiä raakoja hyökkäyksiä.

Muut versiot

• Ubuntu
• CentOS