Kaksifaktorisen todennuksen (2FA) määrittäminen SSH:lle CentOS 6:ssa Google Authenticatorin avulla

Kun olet vaihtanut SSH-porttia, määrittänyt portin koputuksen ja tehnyt muita SSH-suojausta koskevia parannuksia, on ehkä vielä yksi tapa suojata palvelintasi. käyttämällä kaksivaiheista todennusta. Kaksitekijätodennuksen (2FA) avulla henkilö tarvitsee mobiililaitteesi päästäkseen SSH-palvelimellesi. Tämä voi olla hyödyllistä suojautuakseen kaikilta raa'ilta pakottaisilta hyökkäyksiltä ja luvattomilta kirjautumisyrityksiltä.

Tässä opetusohjelmassa selitän, kuinka 2FA määritetään CentOS 6 -palvelimella SSH:n ja Google Authenticatorin avulla.

Vaihe 1: Asenna tarvittavat paketit

Paketti "google-authenticator" on CentOS:n oletusvarastossa. Asenna se suorittamalla seuraava komento pääkäyttäjänä.

yum install pam pam-devel google-authenticator

Nyt kun tämä on asennettu palvelimellesi, sinun on asennettava "Google Authenticator" -sovellus mobiililaitteellesi.

• Lataa Android-laitteille
• Lataa iOS-laitteille

Kun olet asentanut sen, pidä mobiililaitteesi helposti saatavilla, koska meidän on vielä määritettävä 2FA.

Vaihe 2: Ohjelmiston määrittäminen

Kirjaudu ensin SSH:n kautta käyttäjänä, jonka haluat suojata.

Suorita seuraava komento:

 google-authenticator

Paina "y" ensimmäisessä viestissä, jossa se kysyy, haluatko päivittää ./google_authenticatortiedoston. Kun se kehottaa sinua kieltämään usean käytön, paina "y" uudelleen, jotta toinen käyttäjä ei voi käyttää koodiasi. Paina loput vaihtoehdot "y", koska ne kaikki parantavat tämän ohjelmiston tehokkuutta.

Loistava! Varmista, että kopioit salaisen avaimen ja hätäraaputuskoodit paperille.

Nyt meidän on määritettävä PAM käyttämään 2FA:ta.

Käytän tässä artikkelissa nanoa ensisijaisena tekstieditorina. Suorita seuraava komento pääkäyttäjänä.

nano /etc/pam.d/sshd

Lisää seuraava rivi tiedoston alkuun.

 auth required pam_google_authenticator.so 

Tallenna ja sulje sitten editori.

Määritä seuraavaksi SSH-daemon käyttämään 2FA:ta.

nano /etc/ssh/sshd_config

Etsi rivi, joka muistuttaa "ChallengeResponseAuthentication no", ja muuta "no" arvoksi "yes".

Käynnistä SSH-palvelin uudelleen:

service sshd restart

Vaihe 3: Google Authenticatorin määrittäminen mobiililaitteessa

Tämän ohjelmiston konfiguroimiseksi meidän on lisättävä siihen salainen avain. Etsi vaihtoehto "kirjoita avain manuaalisesti" ja napauta sitä. Syötä aiemmin muistiin kirjoittamasi salainen avain ja tallenna. Koodi avautuu nyt, ja se päivitetään aina silloin tällöin. Tarvitset tätä kirjautuaksesi SSH-palvelimelle tästä lähtien.

Johtopäätös

Kaksivaiheisen todennuksen tarkoitus on parantaa palvelimesi turvallisuutta. Koska kukaan muu ei pääse käyttämään mobiililaitettasi, he eivät pysty selvittämään palvelimellesi kirjautumiskoodia.

Muut versiot

• Ubuntu
• CentOS