Ako nastaviť dvojfaktorové overenie (2FA) pre SSH na Ubuntu 14.04 pomocou aplikácie Google Authenticator

Existuje niekoľko spôsobov, ako sa prihlásiť na server cez SSH. Metódy zahŕňajú prihlásenie pomocou hesla, prihlásenie pomocou kľúča a dvojfaktorové overenie.

Oveľa lepším typom ochrany je dvojfaktorová autentifikácia. V prípade, že bude váš počítač napadnutý, útočník bude stále potrebovať prístupový kód na prihlásenie.

V tomto návode sa naučíte, ako nastaviť dvojfaktorovú autentifikáciu na serveri Ubuntu pomocou Google Authenticator a SSH.

Krok 1: Predpoklady

• Server Ubuntu 14.04 (alebo novší).
• Používateľ bez oprávnenia root s prístupom sudo.
• Chytrý telefón (Android alebo iOS) s nainštalovanou aplikáciou Google Authenticator. Môžete tiež použiť Authy alebo akúkoľvek inú aplikáciu podporujúcu prihlásenie na základe TOTP.

Krok 2: Inštalácia knižnice Google Authenticator Library

Musíme nainštalovať modul Google Authenticator Library dostupný pre Ubuntu, ktorý umožní serveru čítať a overovať kódy. Spustite nasledujúce príkazy.

sudo apt-get update
sudo apt-get install libpam-google-authenticator

Krok 3: Nakonfigurujte aplikáciu Google Authenticator pre každého používateľa

Na konfiguráciu modulu stačí spustiť nasledujúci príkaz.

google-authenticator

Po spustení príkazu sa vám spýtajú určité otázky. Prvá otázka by znela:

Do you want authentication tokens to be time-based (y/n)

Stlačte ya získate QR kód, tajný kľúč, overovací kód a núdzové záložné kódy.

Vyberte telefón a otvorte aplikáciu Google Authenticator. Môžete naskenovať QR kód alebo pridať tajný kľúč a pridať nový záznam. Keď to urobíte, poznamenajte si záložné kódy a uschovajte ich niekde v bezpečí. V prípade, že sa váš telefón stratí alebo sa poškodí, môžete sa pomocou týchto kódov prihlásiť.

Pri zostávajúcich otázkach stlačte ypri zobrazení výzvy na aktualizáciu .google_authenticatorsúboru, yna zakázanie viacnásobného použitia toho istého tokenu, nna predĺženie časového okna a yna povolenie obmedzenia rýchlosti.

Krok 3 budete musieť zopakovať pre všetkých používateľov na vašom počítači, inak sa nebudú môcť prihlásiť po dokončení tohto návodu.

Krok 4: Nakonfigurujte SSH na používanie aplikácie Google Authenticator

Teraz, keď si všetci používatelia na vašom počítači nastavili svoju aplikáciu na overenie Google, je čas nakonfigurovať SSH tak, aby používal túto metódu overenia namiesto súčasnej.

Zadajte nasledujúci príkaz na úpravu sshdsúboru.

sudo nano /etc/pam.d/sshd

Nájdite riadok @include common-autha komentujte ho ako nižšie.

# Standard Un*x authentication.
#@include common-auth

Pridajte nasledujúci riadok na koniec tohto súboru.

auth required pam_google_authenticator.so

Stlačte Ctrl + Xpre uloženie a ukončenie.

Potom zadajte nasledujúci príkaz na úpravu sshd_configsúboru.

sudo nano /etc/ssh/sshd_config

Nájdite výraz ChallengeResponseAuthenticationa nastavte jeho hodnotu na yes. Tiež nájdite výraz PasswordAuthentication, odkomentujte ho a zmeňte jeho hodnotu na no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Ďalším krokom je pridanie nasledujúceho riadku na koniec súboru.

AuthenticationMethods publickey,keyboard-interactive

Uložte a zatvorte súbor stlačením Ctrl + X. Teraz, keď sme nakonfigurovali server SSH na používanie aplikácie Google Authenticator, je čas ho reštartovať.

sudo service ssh restart

Skúste sa znova prihlásiť na server. Tentokrát budete požiadaní o váš Authenticator kód.

ssh user@serverip

Authenticated with partial success.
Verification code:

Zadajte kód, ktorý vygeneruje vaša aplikácia a budete úspešne prihlásení.

Poznámka

V prípade straty telefónu použite záložné kódy z kroku 2. Ak ste svoje záložné kódy stratili, .google_authenticatorpo prihlásení cez konzolu Vultr ich vždy nájdete v súbore v domovskom adresári používateľa.

Záver

Viacfaktorová autentifikácia výrazne zlepšuje bezpečnosť vášho servera a umožňuje vám zmariť bežné útoky hrubou silou.

Iné verzie

• Ubuntu
• CentOS