Kako nastaviti dvofaktorsko preverjanje pristnosti (2FA) za SSH na CentOS 6 z uporabo Google Authenticator

Ko spremenite svoja vrata SSH, konfigurirate prekinitev vrat in naredite druge nastavitve za varnost SSH, obstaja morda še en način, kako lahko zaščitite svoj strežnik; z uporabo dvofaktorske avtentikacije. Z dvofaktorsko avtentikacijo (2FA) bi oseba zahtevala, da vaša mobilna naprava dostopa do vašega strežnika SSH. To je lahko koristno za zaščito pred vsemi napadi brutalne sile in nepooblaščenimi poskusi prijave.

V tej vadnici bom razložil, kako konfigurirati 2FA na vašem strežniku CentOS 6 s SSH in Google Authenticator.

1. korak: Namestitev zahtevanih paketov

Paket "google-authenticator" obstaja v privzetem skladišču za CentOS. Zaženite naslednji ukaz kot root uporabnik, da ga namestite.

yum install pam pam-devel google-authenticator

Zdaj, ko imate to nameščeno na strežniku, boste morali na svojo mobilno napravo namestiti aplikacijo »Google Authenticator«.

• Prenesite za naprave Android
• Prenesite za naprave iOS

Ko ga namestite, naj bo vaša mobilna naprava na voljo, ker moramo še vedno konfigurirati 2FA.

2. korak: konfiguriranje programske opreme

Najprej se prijavite prek SSH kot uporabnik, ki ga želite zavarovati.

Izvedite naslednji ukaz:

 google-authenticator

Pritisnite "y" pri prvem sporočilu, kjer vas vpraša, ali želite posodobiti ./google_authenticatordatoteko. Ko vas pozove, da onemogočite več uporab, znova pritisnite "y", da drug uporabnik ne bo mogel uporabiti vaše kode. Za ostale možnosti pritisnite "y", saj vse izboljšajo učinkovitost te programske opreme.

Super! Prepričajte se, da ste skrivni ključ in kode za praske v sili prepisali na kos papirja.

Zdaj moramo PAM konfigurirati za uporabo 2FA.

Za ta članek bom kot prednostni urejevalnik besedila uporabil nano. Izvedite naslednji ukaz kot root.

nano /etc/pam.d/sshd

Dodajte naslednjo vrstico na vrh datoteke.

 auth required pam_google_authenticator.so 

Shranite, nato zaprite urejevalnik.

Nato konfigurirajte demon SSH za uporabo 2FA.

nano /etc/ssh/sshd_config

Poiščite vrstico, ki je podobna "ChallengeResponseAuthentication ne", in spremenite "ne" v "da".

Znova zaženite strežnik SSH:

service sshd restart

3. korak: Konfigurirajte Google Authenticator na vaši mobilni napravi

Za konfiguracijo te programske opreme moramo vanjo dodati skrivni ključ. Poiščite možnost »ročni vnos ključa« in jo tapnite. Vnesite skrivni ključ, ki ste ga prej zapisali, in shranite. Zdaj se bo pojavila koda, ki se bo vsake toliko osvežila. To boste od zdaj naprej potrebovali za prijavo v strežnik SSH.

Zaključek

Namen dvofaktorske avtentikacije je izboljšati varnost vašega strežnika. Ker nihče drug ne bo imel dostopa do vaše mobilne naprave, ne bo mogel ugotoviti kode za prijavo v vaš strežnik.

Druge različice

• Ubuntu
• CentOS