Како подесити двофакторску аутентификацију (2ФА) за ССХ на Убунту 14.04 користећи Гоогле Аутхентицатор

Постоји неколико начина да се пријавите на сервер преко ССХ-а. Методе укључују пријаву лозинком, пријаву засновану на кључу и аутентификацију са два фактора.

Двофакторска аутентификација је много боља врста заштите. У случају да ваш рачунар буде компромитован, нападачу ће и даље бити потребан приступни код за пријаву.

У овом водичу ћете научити како да подесите двофакторску аутентификацију на Убунту серверу користећи Гоогле Аутхентицатор и ССХ.

Корак 1: Предуслови

• Убунту 14.04 сервер (или новији).
• Нероот корисник са судо приступом.
• Паметни телефон (Андроид или иОС) са инсталираном апликацијом Гоогле Аутхентицатор. Такође можете користити Аутхи или било коју другу апликацију која подржава пријаве засноване на ТОТП-у.

Корак 2: Инсталирање библиотеке Гоогле Аутхентицатор

Морамо да инсталирамо модул библиотеке Гоогле Аутхентицатор доступан за Убунту који ће омогућити серверу да чита и проверава кодове. Покрените следеће команде.

sudo apt-get update
sudo apt-get install libpam-google-authenticator

Корак 3: Конфигуришите Гоогле Аутхентицатор за сваког корисника

Да бисте конфигурисали модул, само покрените следећу команду.

google-authenticator

Када покренете команду, биће вам постављена одређена питања. Прво питање би било:

Do you want authentication tokens to be time-based (y/n)

Притисните yи добићете КР код, тајни кључ, верификациони код и резервне кодове за хитне случајеве.

Извадите телефон и отворите апликацију Гоогле Аутхентицатор. Можете или скенирати КР код или додати тајни кључ да бисте додали нови унос. Када то урадите, забележите резервне кодове и чувајте их негде на сигурном. У случају да се ваш телефон изгуби или оштети, можете користити те кодове за пријаву.

За преостала питања притисните yкада се од вас затражи да ажурирате .google_authenticatorдатотеку, да yбисте онемогућили вишеструку употребу истог токена, да nбисте повећали временски оквир и yомогућили ограничавање брзине.

Мораћете да поновите корак 3 за све кориснике на вашој машини, иначе неће моћи да се пријаве када завршите са овим водичем.

Корак 4: Конфигуришите ССХ да користи Гоогле Аутхентицатор

Сада када су сви корисници на вашој машини подесили своју апликацију Гоогле аутентификатор, време је да конфигуришете ССХ да користи овај метод аутентикације у односу на тренутни.

Унесите следећу команду да бисте уредили sshdдатотеку.

sudo nano /etc/pam.d/sshd

Пронађите линију @include common-authи коментаришите је као испод.

# Standard Un*x authentication.
#@include common-auth

Додајте следећи ред на дно ове датотеке.

auth required pam_google_authenticator.so

Притисните Ctrl + Xда бисте сачували и изашли.

Затим унесите следећу команду да бисте уредили sshd_configдатотеку.

sudo nano /etc/ssh/sshd_config

Пронађите термин ChallengeResponseAuthenticationи поставите његову вредност на yes. Такође пронађите термин PasswordAuthentication, уклоните га из коментара и промените његову вредност у no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Следећи корак је додавање следећег реда на дно датотеке.

AuthenticationMethods publickey,keyboard-interactive

Сачувајте и затворите датотеку притиском на Ctrl + X. Сада када смо конфигурисали ССХ сервер да користи Гоогле Аутхентицатор, време је да га поново покренемо.

sudo service ssh restart

Покушајте поново да се пријавите на сервер. Овог пута од вас ће бити затражено да унесете код за аутентификацију.

ssh user@serverip

Authenticated with partial success.
Verification code:

Унесите код који ваша апликација генерише и бићете успешно пријављени.

Белешка

У случају да изгубите телефон, користите резервне кодове из корака 2. Ако сте изгубили резервне кодове, увек их можете пронаћи у .google_authenticatorдатотеци у кућном директоријуму корисника након што се пријавите преко Вултр конзоле.

Закључак

Вишефакторска аутентикација у великој мери побољшава безбедност вашег сервера и омогућава вам да спречите уобичајене нападе грубом силом.

Друге верзије

• Убунту
• ЦентОС