Kā iestatīt divu faktoru autentifikāciju (2FA) SSH operētājsistēmā CentOS 6, izmantojot Google autentifikatoru

Pēc SSH porta maiņas, porta klauvēšanas konfigurēšanas un citu SSH drošības uzlabojumu veikšanas, iespējams, ir vēl viens veids, kā aizsargāt savu serveri. izmantojot divu faktoru autentifikāciju. Izmantojot divu faktoru autentifikāciju (2FA), personai būs nepieciešama jūsu mobilā ierīce, lai piekļūtu jūsu SSH serverim. Tas var būt noderīgi, lai aizsargātu pret visiem brutāla piespiedu uzbrukumiem un neautorizētiem pieteikšanās mēģinājumiem.

Šajā apmācībā es paskaidrošu, kā konfigurēt 2FA savā CentOS 6 serverī, izmantojot SSH un Google Authenticator.

1. darbība: nepieciešamo pakotņu instalēšana

Pakotne "google-autentifikators" pastāv CentOS noklusējuma krātuvē. Lai to instalētu, palaidiet šo komandu kā saknes lietotājs.

yum install pam pam-devel google-authenticator

Tagad, kad tas ir instalēts savā serverī, mobilajā ierīcē būs jāinstalē lietotne Google autentifikators.

• Lejupielādēt Android ierīcēm
• Lejupielādēt iOS ierīcēm

Pēc instalēšanas turiet savu mobilo ierīci viegli pieejamu, jo mums joprojām ir jākonfigurē 2FA.

2. darbība: programmatūras konfigurēšana

Vispirms piesakieties, izmantojot SSH, kā lietotājs, kuru vēlaties aizsargāt.

Izpildiet šādu komandu:

 google-authenticator

Nospiediet "y" pirmajā ziņojumā, kur tas jautā, vai vēlaties atjaunināt ./google_authenticatorfailu. Kad tiek parādīts uzvedne ar uzaicinājumu neatļaut vairākus lietojumus, vēlreiz nospiediet taustiņu "y", lai cits lietotājs nevarētu izmantot jūsu kodu. Pārējām opcijām nospiediet "y", jo tās visas uzlabo šīs programmatūras efektivitāti.

Lieliski! Noteikti nokopējiet slepeno atslēgu un avārijas skrāpējumu kodus uz papīra lapas.

Tagad mums ir jākonfigurē PAM, lai izmantotu 2FA.

Šajā rakstā kā vēlamo teksta redaktoru izmantošu nano. Izpildiet šo komandu kā root.

nano /etc/pam.d/sshd

Pievienojiet šādu rindiņu faila augšpusē.

 auth required pam_google_authenticator.so 

Saglabājiet, pēc tam aizveriet redaktoru.

Pēc tam konfigurējiet SSH dēmonu, lai izmantotu 2FA.

nano /etc/ssh/sshd_config

Atrodiet rindiņu, kas atgādina "ChallengeResponseAuthentication nē", un mainiet "nē" uz "jā".

Restartējiet SSH serveri:

service sshd restart

3. darbība. Google autentifikatora konfigurēšana mobilajā ierīcē

Lai konfigurētu šo programmatūru, mums tai jāpievieno slepenā atslēga. Atrodiet opciju "manuāli ievadiet taustiņu" un pieskarieties tai. Ievadiet slepeno atslēgu, kuru pierakstījāt iepriekš, un saglabājiet. Tagad tiks parādīts kods, kas ik pa laikam tiks atsvaidzināts. Tas būs nepieciešams, lai turpmāk pieteiktos SSH serverī.

Secinājums

Divfaktoru autentifikācijas mērķis ir uzlabot jūsu servera drošību. Tā kā neviens cits nevarēs piekļūt jūsu mobilajai ierīcei, viņi nevarēs izdomāt kodu, lai pieteiktos jūsu serverī.

Citas versijas

• Ubuntu
• CentOS