Kaksivaiheisen todennuksen (2FA) määrittäminen SSH:lle Debian 9:ssä Google Authenticatorin avulla

On olemassa useita tapoja kirjautua palvelimelle SSH:n kautta. Menetelmiä ovat sisäänkirjautuminen salasanalla, avainpohjainen kirjautuminen ja kaksivaiheinen todennus.

Kaksivaiheinen todennus on paljon parempi suojatyyppi. Jos tietokoneesi vaarantuu, hyökkääjä tarvitsee silti pääsykoodin kirjautuakseen sisään.

Tässä opetusohjelmassa opit määrittämään kaksivaiheisen todennuksen Debian 9:ssä Google Authenticatorin ja SSH:n avulla.

Edellytykset

• Debian 9 -palvelin (tai uudempi).
• Ei-root-käyttäjä, jolla on sudo-käyttöoikeus.
• Älypuhelin (Android tai iOS), johon on asennettu Google Authenticator -sovellus. Voit myös käyttää Authya tai mitä tahansa muuta sovellusta, joka tukee Time-based One-Time Password (TOTP) -kirjautumisia.

Vaihe 1: Asenna Google Authenticator -kirjasto

Meidän on asennettava Debianille saatavilla oleva Google Authenticator Library -moduuli, jonka avulla palvelin voi lukea ja vahvistaa koodeja.

sudo apt update
sudo apt install libpam-google-authenticator -y

Vaihe 2: Määritä Google Authenticator jokaiselle käyttäjälle

Määritä moduuli.

google-authenticator

Kun suoritat komennon, sinulta kysytään tiettyjä kysymyksiä. Ensimmäinen kysymys tulee olemaanDo you want authentication tokens to be time-based (y/n)

Paina Yja saat QR-koodin, salaisen avaimen, vahvistuskoodin ja hätävarakoodit.

Ota puhelimesi esiin ja avaa Google Authenticator -sovellus. Voit joko skannata QR-koodin tai lisätä salaisen avaimen lisätäksesi uuden merkinnän. Kun olet tehnyt sen, merkitse varakoodit muistiin ja säilytä ne jossain tallessa. Jos puhelimesi katoaa tai vaurioituu, voit käyttää näitä koodeja kirjautumiseen.

Muissa kysymyksissä paina Ykun sitä pyydetään päivittämään .google_authenticatortiedosto, Yjos haluat estää saman tunnuksen usean käytön, Npidentää aikaikkunaa ja Yottaa nopeuden rajoittamisen käyttöön.

Sinun on toistettava tämä vaihe kaikille koneesi käyttäjille, muuten he eivät voi kirjautua sisään, kun olet suorittanut tämän opetusohjelman.

Vaihe 3: Määritä SSH käyttämään Google Authenticatoria

Nyt kun kaikki laitteesi käyttäjät ovat määrittäneet Google-todennussovelluksensa, on aika määrittää SSH käyttämään tätä todennusmenetelmää nykyisen sijaan.

Muokkaa sshdtiedostoa antamalla seuraava komento .

sudo nano /etc/pam.d/sshd

Etsi rivi @include common-authja kommentoi se alla olevan kuvan mukaisesti.

# Standard Un*x authentication.
#@include common-auth

Lisää seuraava rivi tämän tiedoston alaosaan.

auth required pam_google_authenticator.so

Tallenna ja poistu painamalla CTRL+ X.

Kirjoita seuraavaksi seuraava komento muokataksesi sshd_configtiedostoa.

sudo nano /etc/ssh/sshd_config

Etsi termi ChallengeResponseAuthenticationja aseta sen arvoksi yes. Etsi myös termi PasswordAuthentication, poista sen kommentti ja muuta sen arvoksi no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Seuraava vaihe on lisätä seuraava rivi tiedoston alaosaan.

AuthenticationMethods publickey,keyboard-interactive

Tallenna ja sulje tiedosto painamalla CTRL+ X. Nyt kun olemme määrittäneet SSH-palvelimen käyttämään Google Authenticatoria, on aika käynnistää se uudelleen.

sudo service ssh restart

Yritä kirjautua takaisin palvelimelle. Tällä kertaa sinulta kysytään Authenticator-koodiasi.

ssh user@serverip

Authenticated with partial success.
Verification code:

Anna sovelluksesi luoma koodi, niin kirjaudut sisään onnistuneesti.

Merkintä

Jos kadotat puhelimesi, käytä vaiheen 2 varakoodeja. Jos .google_authenticatorkadotit varakoodisi, löydät ne aina käyttäjän kotihakemiston tiedostosta, kun olet kirjautunut sisään Vultr-konsolin kautta.

Johtopäätös

Kaksivaiheinen todennus parantaa huomattavasti palvelimesi turvallisuutta ja auttaa estämään yleisiä raakoja hyökkäyksiä.