Kaip nustatyti dviejų faktorių autentifikavimą (2FA) SSH Ubuntu 14.04 naudojant „Google Authenticator“

Yra keli būdai prisijungti prie serverio per SSH. Metodai apima prisijungimą slaptažodžiu, raktu pagrįstą prisijungimą ir dviejų veiksnių autentifikavimą.

Dviejų veiksnių autentifikavimas yra daug geresnė apsaugos rūšis. Jei jūsų kompiuteris būtų pažeistas, užpuolikui vis tiek reikės prieigos kodo, kad galėtų prisijungti.

Šiame vadove sužinosite, kaip nustatyti dviejų veiksnių autentifikavimą Ubuntu serveryje naudojant Google Authenticator ir SSH.

1 veiksmas: būtinos sąlygos

• Ubuntu 14.04 serveris (arba naujesnis).
• Ne root vartotojas, turintis sudo prieigą.
• Išmanusis telefonas („Android“ arba „iOS“), kuriame įdiegta „Google Authenticator“ programa. Taip pat galite naudoti „Authy“ ar bet kurią kitą programėlę, palaikančią TOTP pagrįstus prisijungimus.

2 veiksmas: įdiekite „Google Authenticator“ biblioteką

Turime įdiegti „Google Authenticator“ bibliotekos modulį, skirtą „Ubuntu“, kuris leis serveriui skaityti ir patvirtinti kodus. Vykdykite šias komandas.

sudo apt-get update
sudo apt-get install libpam-google-authenticator

3 veiksmas: kiekvienam vartotojui sukonfigūruokite „Google“ autentifikavimo priemonę

Norėdami sukonfigūruoti modulį, tiesiog paleiskite šią komandą.

google-authenticator

Kai paleisite komandą, jums bus užduodami tam tikri klausimai. Pirmas klausimas butu toks:

Do you want authentication tokens to be time-based (y/n)

Paspauskite yir gausite QR kodą, slaptą raktą, patvirtinimo kodą ir avarinius atsarginius kodus.

Išimkite telefoną ir atidarykite „Google Authenticator“ programą. Norėdami pridėti naują įrašą, galite nuskaityti QR kodą arba pridėti slaptąjį raktą. Kai tai padarysite, užsirašykite atsarginius kodus ir kur nors saugokite juos. Jei jūsų telefonas būtų netinkamas arba sugadintas, galite prisijungti prie šių kodų.

Norėdami atsakyti į kitus klausimus, paspauskite , ykai bus paprašyta atnaujinti .google_authenticatorfailą, ykad neleistumėte kelis kartus naudoti tą patį prieigos raktą, npadidintumėte laiko langą ir yįgalintumėte greičio ribojimą.

Turėsite pakartoti 3 veiksmą visiems savo kompiuterio naudotojams, kitaip jie negalės prisijungti, kai baigsite šią mokymo programą.

4 veiksmas: sukonfigūruokite SSH, kad galėtumėte naudoti „Google Authenticator“.

Dabar, kai visi jūsų įrenginio naudotojai nustatė savo „Google“ autentifikavimo programą, laikas sukonfigūruoti SSH naudoti šį autentifikavimo metodą, o ne dabartinį.

Norėdami redaguoti sshdfailą, įveskite šią komandą .

sudo nano /etc/pam.d/sshd

Raskite eilutę @include common-authir pakomentuokite, kaip nurodyta toliau.

# Standard Un*x authentication.
#@include common-auth

Pridėkite šią eilutę šio failo apačioje.

auth required pam_google_authenticator.so

Paspauskite Ctrl + Xnorėdami išsaugoti ir išeiti.

Tada įveskite šią komandą, kad galėtumėte redaguoti sshd_configfailą.

sudo nano /etc/ssh/sshd_config

Raskite terminą ChallengeResponseAuthenticationir nustatykite jo reikšmę yes. Taip pat suraskite terminą PasswordAuthentication, panaikinkite jo komentarą ir pakeiskite jo reikšmę į no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Kitas žingsnis yra pridėti šią eilutę į failo apačią.

AuthenticationMethods publickey,keyboard-interactive

Išsaugokite ir uždarykite failą paspausdami Ctrl + X. Dabar, kai sukonfigūravome SSH serverį naudoti „Google Authenticator“, laikas jį paleisti iš naujo.

sudo service ssh restart

Pabandykite vėl prisijungti prie serverio. Šį kartą jūsų bus paprašyta įvesti autentifikavimo priemonės kodą.

ssh user@serverip

Authenticated with partial success.
Verification code:

Įveskite programėlės sugeneruotą kodą ir būsite sėkmingai prisijungę.

Pastaba

Jei pamestumėte telefoną, naudokite atsarginius kodus iš 2 veiksmo. Jei pametėte atsarginius kodus, .google_authenticatorprisijungę naudodami „Vultr“ konsolę, visada galite juos rasti faile, esančiame vartotojo namų kataloge.

Išvada

Kelių veiksnių autentifikavimas labai pagerina jūsų serverio saugumą ir leidžia užkirsti kelią įprastoms žiaurios jėgos atakoms.

Kitos versijos

• Ubuntu
• CentOS