Kako nastaviti dvofaktorsko preverjanje pristnosti (2FA) za SSH v Debianu 9 z uporabo Google Authenticator

Obstaja več načinov za prijavo v strežnik prek SSH. Metode vključujejo prijavo z geslom, prijavo na osnovi ključa in dvofaktorsko preverjanje pristnosti.

Dvofaktorska avtentikacija je veliko boljša vrsta zaščite. V primeru, da je vaš računalnik ogrožen, bi napadalec še vedno potreboval dostopno kodo za prijavo.

V tej vadnici se boste naučili, kako nastaviti dvofaktorsko preverjanje pristnosti v Debianu 9 z uporabo Google Authenticator in SSH.

Predpogoji

• Strežnik Debian 9 (ali novejši).
• Nekorenski uporabnik z dostopom sudo.
• Pametni telefon (Android ali iOS) z nameščeno aplikacijo Google Authenticator. Uporabite lahko tudi Authy ali katero koli drugo aplikacijo, ki podpira prijave z enkratnim geslom (TOTP).

1. korak: Namestitev knjižnice Google Authenticator

Namestiti moramo modul knjižnice Google Authenticator, ki je na voljo za Debian, ki bo strežniku omogočil branje in preverjanje kod.

sudo apt update
sudo apt install libpam-google-authenticator -y

2. korak: konfigurirajte Google Authenticator za vsakega uporabnika

Konfigurirajte modul.

google-authenticator

Ko zaženete ukaz, vam bodo zastavljena določena vprašanja. Prvo vprašanje boDo you want authentication tokens to be time-based (y/n)

Pritisnite Yin prejeli boste QR kodo, skrivni ključ, potrditveno kodo in rezervne kode v sili.

Vzemite telefon in odprite aplikacijo Google Authenticator. Če želite dodati nov vnos, lahko skenirate kodo QR ali dodate skrivni ključ. Ko to storite, si zabeležite rezervne kode in jih nekje shranite. V primeru, da se vaš telefon izgubi ali poškoduje, lahko uporabite te kode za prijavo.

Za preostala vprašanja pritisnite, Yko ste pozvani, da posodobite .google_authenticatordatoteko, Yda onemogočite večkratno uporabo istega žetona, Nda povečate časovno okno in Yomogočite omejevanje hitrosti.

Ta korak boste morali ponoviti za vse uporabnike na vašem računalniku, sicer se ne bodo mogli prijaviti, ko boste končali s to vadnico.

3. korak: Konfigurirajte SSH za uporabo Google Authenticator

Zdaj, ko so vsi uporabniki na vašem računalniku nastavili svojo aplikacijo Google Authenticator, je čas, da konfigurirate SSH za uporabo te metode preverjanja pristnosti namesto trenutne.

Vnesite naslednji ukaz, da uredite sshddatoteko.

sudo nano /etc/pam.d/sshd

Poiščite vrstico @include common-authin jo komentirajte, kot je prikazano spodaj.

# Standard Un*x authentication.
#@include common-auth

Dodajte naslednjo vrstico na dno te datoteke.

auth required pam_google_authenticator.so

Pritisnite CTRL+ Xza shranjevanje in izhod.

Nato vnesite naslednji ukaz, da uredite sshd_configdatoteko.

sudo nano /etc/ssh/sshd_config

Poiščite izraz ChallengeResponseAuthenticationin nastavite njegovo vrednost na yes. Poiščite tudi izraz PasswordAuthentication, ga odstranite iz komentarja in spremenite njegovo vrednost v no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Naslednji korak je, da na dno datoteke dodate naslednjo vrstico.

AuthenticationMethods publickey,keyboard-interactive

Shranite in zaprite datoteko s pritiskom na CTRL+ X. Zdaj, ko smo strežnik SSH konfigurirali za uporabo Google Authenticator, je čas, da ga znova zaženemo.

sudo service ssh restart

Poskusite se znova prijaviti v strežnik. Tokrat boste morali vnesti kodo Authenticator.

ssh user@serverip

Authenticated with partial success.
Verification code:

Vnesite kodo, ki jo ustvari vaša aplikacija in uspešno boste prijavljeni.

Opomba

V primeru, da izgubite telefon, uporabite nadomestne kode iz 2. koraka. Če ste izgubili nadomestne kode, jih lahko vedno najdete v .google_authenticatordatoteki pod domačim imenikom uporabnika, potem ko se prijavite prek konzole Vultr.

Zaključek

Dvofaktorska avtentikacija močno izboljša varnost vašega strežnika in vam omogoča, da preprečite pogoste napade s surovo silo.