Kaip nustatyti dviejų faktorių autentifikavimą (2FA) SSH „CentOS 6“ naudojant „Google“ autentifikavimo priemonę

Pakeitus SSH prievadą, sukonfigūravus prievado skambėjimą ir atlikus kitus SSH saugumo pakeitimus, galbūt yra dar vienas būdas apsaugoti serverį; naudojant dviejų veiksnių autentifikavimą. Naudojant dviejų veiksnių autentifikavimą (2FA), asmeniui reikės jūsų mobiliojo įrenginio, kad pasiektų jūsų SSH serverį. Tai gali būti naudinga siekiant apsisaugoti nuo visų žiaurių prievartos atakų ir neteisėtų bandymų prisijungti.

Šiame vadove paaiškinsiu, kaip sukonfigūruoti 2FA „CentOS 6“ serveryje naudojant SSH ir „Google Authenticator“.

1 veiksmas: įdiekite reikiamus paketus

Paketas „google-autentifikatorius“ yra numatytojoje CentOS saugykloje. Paleiskite šią komandą kaip root naudotojas, kad ją įdiegtumėte.

yum install pam pam-devel google-authenticator

Dabar, kai tai įdiegta savo serveryje, savo mobiliajame įrenginyje turėsite įdiegti programą „Google Authenticator“.

• Atsisiųskite „ Android“ įrenginiams
• Atsisiųskite iOS įrenginiams

Įdiegę laikykite mobilųjį įrenginį lengvai pasiekiamą, nes vis tiek turime sukonfigūruoti 2FA.

2 veiksmas: programinės įrangos konfigūravimas

Pirmiausia prisijunkite per SSH kaip vartotojas, kurį norite apsaugoti.

Vykdykite šią komandą:

 google-authenticator

Paspauskite "y" pirmame pranešime, kur jis klausia, ar norite atnaujinti ./google_authenticatorfailą. Kai būsite paraginti neleisti naudoti kelis kartus, dar kartą paspauskite „y“, kad kitas vartotojas negalėtų naudoti jūsų kodo. Dėl likusių parinkčių paspauskite „y“, nes visos jos pagerina šios programinės įrangos efektyvumą.

Puiku! Įsitikinkite, kad nukopijavote slaptąjį raktą ir avarinius įbrėžimų kodus ant popieriaus lapo.

Dabar turime sukonfigūruoti PAM naudoti 2FA.

Šiame straipsnyje kaip pageidaujamą teksto rengyklę naudosiu nano. Vykdykite šią komandą kaip root.

nano /etc/pam.d/sshd

Pridėkite šią eilutę prie failo viršaus.

 auth required pam_google_authenticator.so 

Išsaugokite, tada uždarykite redaktorių.

Tada sukonfigūruokite SSH demoną naudoti 2FA.

nano /etc/ssh/sshd_config

Raskite eilutę, panašią į „ChallengeResponseAuthentication ne“, ir pakeiskite „ne“ į „taip“.

Iš naujo paleiskite SSH serverį:

service sshd restart

3 veiksmas: „Google“ autentifikavimo priemonės konfigūravimas mobiliajame įrenginyje

Norėdami sukonfigūruoti šią programinę įrangą, turime į ją įtraukti slaptąjį raktą. Raskite parinktį „rankiniu būdu įvesti raktą“ ir bakstelėkite ją. Įveskite slaptą raktą, kurį užsirašėte anksčiau, ir išsaugokite. Dabar pasirodys kodas, kuris bus atnaujinamas kaskart. Nuo šiol to reikės norint prisijungti prie SSH serverio.

Išvada

Dviejų veiksnių autentifikavimo tikslas – pagerinti jūsų serverio saugumą. Kadangi niekas kitas neturės prieigos prie jūsų mobiliojo įrenginio, jie negalės išsiaiškinti kodo, kad galėtumėte prisijungti prie jūsų serverio.

Kitos versijos

• Ubuntu
• CentOS