Hur man ställer in tvåfaktorsautentisering (2FA) för SSH på Ubuntu 14.04 med Google Authenticator

Det finns flera sätt att logga in på en server över SSH. Metoder inkluderar lösenordsinloggning, nyckelbaserad inloggning och tvåfaktorsautentisering.

Tvåfaktorsautentisering är en mycket bättre typ av skydd. I händelse av att din dator äventyras, skulle angriparen fortfarande behöva en åtkomstkod för att logga in.

I den här handledningen kommer du att lära dig hur du ställer in tvåfaktorsautentisering på en Ubuntu-server med Google Authenticator och SSH.

Steg 1: Förutsättningar

• En Ubuntu 14.04-server (eller nyare).
• En icke-rootanvändare med sudo-åtkomst.
• En smart telefon (Android eller iOS) med Google Authenticator-appen installerad. Du kan också använda Authy eller någon annan app som stöder TOTP-baserade inloggningar.

Steg 2: Installera Google Authenticator Library

Vi måste installera Google Authenticator Library-modulen som är tillgänglig för Ubuntu som gör att servern kan läsa och validera koder. Kör följande kommandon.

sudo apt-get update
sudo apt-get install libpam-google-authenticator

Steg 3: Konfigurera Google Authenticator för varje användare

För att konfigurera modulen, kör bara följande kommando.

google-authenticator

När du kör kommandot kommer du att ställas vissa frågor. Den första frågan skulle vara:

Do you want authentication tokens to be time-based (y/n)

Tryck på yså får du en QR-kod, hemlig nyckel, verifieringskod och reservkoder för nödsituationer.

Ta fram telefonen och öppna Google Authenticator-appen. Du kan antingen skanna QR-koden eller lägga till den hemliga nyckeln för att lägga till en ny post. När du har gjort det, anteckna reservkoderna och förvara dem säkert någonstans. Om din telefon blir felplacerad eller skadad kan du använda dessa koder för att logga in.

För de återstående frågorna, tryck ynär du ombeds att uppdatera .google_authenticatorfilen, yför att inte tillåta flera användningar av samma token, nför att öka tidsfönstret och för yatt aktivera hastighetsbegränsning.

Du måste upprepa steg 3 för alla användare på din maskin, annars kommer de inte att kunna logga in när du är klar med den här handledningen.

Steg 4: Konfigurera SSH för att använda Google Authenticator

Nu när alla användare på din maskin har konfigurerat sin Google-autentiseringsapp är det dags att konfigurera SSH för att använda denna autentiseringsmetod över den nuvarande.

Ange följande kommando för att redigera sshdfilen.

sudo nano /etc/pam.d/sshd

Hitta raden @include common-authoch kommentera den som nedan.

# Standard Un*x authentication.
#@include common-auth

Lägg till följande rad längst ned i den här filen.

auth required pam_google_authenticator.so

Tryck för Ctrl + Xatt spara och avsluta.

Ange sedan följande kommando för att redigera sshd_configfilen.

sudo nano /etc/ssh/sshd_config

Hitta termen ChallengeResponseAuthenticationoch ställ in dess värde till yes. PasswordAuthenticationHitta även termen , avkommentera den och ändra dess värde till no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Nästa steg är att lägga till följande rad längst ner i filen.

AuthenticationMethods publickey,keyboard-interactive

Spara och stäng filen genom att trycka på Ctrl + X. Nu när vi har konfigurerat SSH-servern för att använda Google Authenticator är det dags att starta om den.

sudo service ssh restart

Försök att logga in på servern igen. Den här gången kommer du att bli ombedd att ange din Authenticator-kod.

ssh user@serverip

Authenticated with partial success.
Verification code:

Ange koden som din app genererar så loggas du in.

Notera

Om du tappar bort din telefon, använd reservkoderna från steg 2. Om du tappade bort dina reservkoder kan du alltid hitta dem i .google_authenticatorfilen under användarens hemkatalog efter att du loggat in via Vultr-konsolen.

Slutsats

Att ha autentisering med flera faktorer förbättrar avsevärt din servers säkerhet och låter dig hjälpa till att motverka vanliga brute force-attacker.

Andra versioner

• Ubuntu
• CentOS