Hur man ställer in tvåfaktorsautentisering (2FA) för SSH på Debian 9 med Google Authenticator

Det finns flera sätt att logga in på en server över SSH. Metoder inkluderar lösenordsinloggning, nyckelbaserad inloggning och tvåfaktorsautentisering.

Tvåfaktorsautentisering är en mycket bättre typ av skydd. I händelse av att din dator äventyras, skulle angriparen fortfarande behöva en åtkomstkod för att logga in.

I den här handledningen kommer du att lära dig hur du ställer in tvåfaktorsautentisering på Debian 9 med Google Authenticator och SSH.

Förutsättningar

• En Debian 9-server (eller nyare).
• En icke-rootanvändare med sudo-åtkomst.
• En smart telefon (Android eller iOS) med Google Authenticator-appen installerad. Du kan också använda Authy eller någon annan app som stöder tidsbaserade engångslösenord (TOTP) inloggningar.

Steg 1: Installera Google Authenticator Library

Vi måste installera modulen Google Authenticator Library som är tillgänglig för Debian, vilket gör att servern kan läsa och validera koder.

sudo apt update
sudo apt install libpam-google-authenticator -y

Steg 2: Konfigurera Google Authenticator för varje användare

Konfigurera modulen.

google-authenticator

När du kör kommandot kommer du att ställas vissa frågor. Den första frågan blirDo you want authentication tokens to be time-based (y/n)

Tryck på Yså får du en QR-kod, hemlig nyckel, verifieringskod och reservkoder för nödsituationer.

Ta fram telefonen och öppna Google Authenticator-appen. Du kan antingen skanna QR-koden eller lägga till den hemliga nyckeln för att lägga till en ny post. När du har gjort det, notera reservkoderna och förvara dem säkert någonstans. Om din telefon blir felplacerad eller skadad kan du använda dessa koder för att logga in.

För de återstående frågorna, tryck Ynär du ombeds att uppdatera .google_authenticatorfilen, Yför att inte tillåta flera användningar av samma token, Nför att öka tidsfönstret och för Yatt aktivera hastighetsbegränsning.

Du måste upprepa detta steg för alla användare på din maskin, annars kommer de inte att kunna logga in när du är klar med den här handledningen.

Steg 3: Konfigurera SSH för att använda Google Authenticator

Nu när alla användare på din maskin har konfigurerat sin Google-autentiseringsapp är det dags att konfigurera SSH för att använda denna autentiseringsmetod över den nuvarande.

Ange följande kommando för att redigera sshdfilen.

sudo nano /etc/pam.d/sshd

Hitta raden @include common-authoch kommentera den, som det som visas nedan.

# Standard Un*x authentication.
#@include common-auth

Lägg till följande rad längst ned i den här filen.

auth required pam_google_authenticator.so

Tryck på CTRL+ för Xatt spara och avsluta.

Ange sedan följande kommando för att redigera sshd_configfilen.

sudo nano /etc/ssh/sshd_config

Hitta termen ChallengeResponseAuthenticationoch ställ in dess värde till yes. PasswordAuthenticationHitta även termen , avkommentera den och ändra dess värde till no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Nästa steg är att lägga till följande rad längst ner i filen.

AuthenticationMethods publickey,keyboard-interactive

Spara och stäng filen genom att trycka på CTRL+ X. Nu när vi har konfigurerat SSH-servern för att använda Google Authenticator är det dags att starta om den.

sudo service ssh restart

Försök att logga in på servern igen. Den här gången kommer du att bli ombedd att ange din Authenticator-kod.

ssh user@serverip

Authenticated with partial success.
Verification code:

Ange koden som din app genererar så loggas du in.

Notera

Om du tappar bort din telefon, använd reservkoderna från steg 2. Om du tappade bort dina reservkoder kan du alltid hitta dem i .google_authenticatorfilen under användarens hemkatalog efter att du loggat in via Vultr-konsolen.

Slutsats

Att ha tvåfaktorsautentisering förbättrar avsevärt din servers säkerhet och låter dig hjälpa till att motverka vanliga brute force-attacker.