Kā iestatīt divu faktoru autentifikāciju (2FA) SSH operētājsistēmā Ubuntu 14.04, izmantojot Google autentifikatoru

Ir vairāki veidi, kā pieteikties serverī, izmantojot SSH. Metodes ietver paroles pieteikšanos, uz atslēgām balstītu pieteikšanos un divu faktoru autentifikāciju.

Divu faktoru autentifikācija ir daudz labāks aizsardzības veids. Gadījumā, ja jūsu dators tiek apdraudēts, uzbrucējam joprojām būs nepieciešams piekļuves kods, lai pieteiktos.

Šajā apmācībā jūs uzzināsit, kā iestatīt divu faktoru autentifikāciju Ubuntu serverī, izmantojot Google Authenticator un SSH.

1. solis: priekšnoteikumi

• Ubuntu 14.04 serveris (vai jaunāks).
• Ne-root lietotājs ar sudo piekļuvi.
• Viedtālrunis (Android vai iOS), kurā ir instalēta lietotne Google autentifikators. Varat arī izmantot Authy vai jebkuru citu lietotni, kas atbalsta TOTP balstītas pieteikšanās.

2. darbība. Google autentifikatora bibliotēkas instalēšana

Mums ir jāinstalē Ubuntu pieejamais Google autentifikatora bibliotēkas modulis, kas ļaus serverim lasīt un apstiprināt kodus. Palaidiet šādas komandas.

sudo apt-get update
sudo apt-get install libpam-google-authenticator

3. darbība: konfigurējiet Google autentifikatoru katram lietotājam

Lai konfigurētu moduli, vienkārši palaidiet šo komandu.

google-authenticator

Kad palaižat komandu, jums tiks uzdoti noteikti jautājumi. Pirmais jautājums būtu:

Do you want authentication tokens to be time-based (y/n)

Nospiediet, yun jūs saņemsit QR kodu, slepeno atslēgu, verifikācijas kodu un avārijas rezerves kodus.

Izņemiet tālruni un atveriet lietotni Google autentifikators. Lai pievienotu jaunu ierakstu, varat skenēt QR kodu vai pievienot slepeno atslēgu. Kad tas ir izdarīts, pierakstiet rezerves kodus un glabājiet tos kaut kur drošībā. Ja tālrunis tiek nevietā vai tiek bojāts, varat izmantot šos kodus, lai pieteiktos.

Lai atbildētu uz pārējiem jautājumiem, nospiediet , ykad tiek prasīts atjaunināt .google_authenticatorfailu, ylai aizliegtu viena marķiera vairākkārtēju izmantošanu, npalielinātu laika logu un yiespējotu ātruma ierobežošanu.

Jums būs jāatkārto 3. darbība visiem jūsu datora lietotājiem, pretējā gadījumā viņi nevarēs pieteikties, kad būsiet pabeidzis šo apmācību.

4. darbība: konfigurējiet SSH, lai izmantotu Google autentifikatoru

Tagad, kad visi jūsu ierīces lietotāji ir iestatījuši savu Google autentifikācijas lietotni, ir pienācis laiks konfigurēt SSH, lai izmantotu šo autentifikācijas metodi, nevis pašreizējo.

Lai rediģētu sshdfailu, ievadiet šo komandu .

sudo nano /etc/pam.d/sshd

Atrodiet līniju @include common-authun komentējiet to, kā norādīts tālāk.

# Standard Un*x authentication.
#@include common-auth

Pievienojiet šo rindiņu šī faila apakšai.

auth required pam_google_authenticator.so

Nospiediet, Ctrl + Xlai saglabātu un izietu.

Pēc tam ievadiet šo komandu, lai rediģētu sshd_configfailu.

sudo nano /etc/ssh/sshd_config

Atrodiet terminu ChallengeResponseAuthenticationun iestatiet tā vērtību uz yes. Atrodiet arī vārdu PasswordAuthentication, izņemiet no tā komentāru un mainiet tā vērtību uz no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Nākamais solis ir pievienot šādu rindiņu faila apakšā.

AuthenticationMethods publickey,keyboard-interactive

Saglabājiet un aizveriet failu, nospiežot Ctrl + X. Tagad, kad esam konfigurējuši SSH serveri, lai izmantotu Google autentifikatoru, ir pienācis laiks to restartēt.

sudo service ssh restart

Mēģiniet vēlreiz pieteikties serverī. Šoreiz jums tiks lūgts ievadīt autentifikatora kodu.

ssh user@serverip

Authenticated with partial success.
Verification code:

Ievadiet lietotnes ģenerēto kodu, un jūs tiksit veiksmīgi pieteikts.

Piezīme

Ja pazaudējat tālruni, izmantojiet rezerves kodus no 2. darbības. Ja esat pazaudējis rezerves kodus, .google_authenticatorpēc pieteikšanās, izmantojot Vultr konsoli, vienmēr varat tos atrast failā, kas atrodas lietotāja mājas direktorijā.

Secinājums

Vairāku faktoru autentifikācija ievērojami uzlabo jūsu servera drošību un ļauj jums palīdzēt novērst izplatītus brutālā spēka uzbrukumus.

Citas versijas

• Ubuntu
• CentOS