Як налаштувати двофакторну аутентифікацію (2FA) для SSH в Ubuntu 14.04 за допомогою Google Authenticator

Існує кілька способів входу на сервер через SSH. Методи включають вхід за допомогою пароля, вхід на основі ключа та двофакторну аутентифікацію.

Двофакторна аутентифікація є набагато кращим типом захисту. У випадку, якщо ваш комп’ютер буде зламано, зловмиснику все одно знадобиться код доступу для входу.

У цьому підручнику ви дізнаєтеся, як налаштувати двофакторну аутентифікацію на сервері Ubuntu за допомогою Google Authenticator і SSH.

Крок 1: Передумови

• Сервер Ubuntu 14.04 (або новішої версії).
• Користувач без права root з доступом sudo.
• Смартфон (Android або iOS) із встановленою програмою Google Authenticator. Ви також можете використовувати Authy або будь-який інший додаток, що підтримує вхід на основі TOTP.

Крок 2. Встановлення бібліотеки Google Authenticator Library

Нам потрібно встановити модуль бібліотеки Google Authenticator, доступний для Ubuntu, який дозволить серверу зчитувати та перевіряти коди. Виконайте наступні команди.

sudo apt-get update
sudo apt-get install libpam-google-authenticator

Крок 3. Налаштуйте Google Authenticator для кожного користувача

Щоб налаштувати модуль, просто виконайте таку команду.

google-authenticator

Після виконання команди вам зададуть певні запитання. Перше запитання було б:

Do you want authentication tokens to be time-based (y/n)

Натисніть, yі ви отримаєте QR-код, секретний ключ, код підтвердження та аварійні резервні коди.

Дістаньте телефон і відкрийте програму Google Authenticator. Ви можете відсканувати QR-код або додати секретний ключ, щоб додати новий запис. Зробивши це, запишіть резервні коди та зберігайте їх десь у безпеці. Якщо ваш телефон загублений або пошкоджений, ви можете використовувати ці коди для входу.

Для решти запитань натисніть, yколи попросять оновити .google_authenticatorфайл, yщоб заборонити багаторазове використання одного токена, nщоб збільшити часове вікно та yввімкнути обмеження швидкості.

Вам доведеться повторити крок 3 для всіх користувачів на вашому комп’ютері, інакше вони не зможуть увійти, коли ви закінчите цей посібник.

Крок 4. Налаштуйте SSH для використання Google Authenticator

Тепер, коли всі користувачі на вашому комп’ютері налаштували свою програму аутентифікації Google, настав час налаштувати SSH на використання цього методу аутентифікації замість поточного.

Введіть таку команду, щоб відредагувати sshdфайл.

sudo nano /etc/pam.d/sshd

Знайдіть рядок @include common-authі прокоментуйте його, як показано нижче.

# Standard Un*x authentication.
#@include common-auth

Додайте наступний рядок у нижню частину цього файлу.

auth required pam_google_authenticator.so

Натисніть, Ctrl + Xщоб зберегти та вийти.

Далі введіть таку команду, щоб відредагувати sshd_configфайл.

sudo nano /etc/ssh/sshd_config

Знайдіть термін ChallengeResponseAuthenticationі встановіть його значення yes. Також знайдіть термін PasswordAuthentication, розкоментуйте його та змініть його значення на no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Наступним кроком є ​​додавання наступного рядка в нижню частину файлу.

AuthenticationMethods publickey,keyboard-interactive

Збережіть та закрийте файл, натиснувши Ctrl + X. Тепер, коли ми налаштували сервер SSH на використання Google Authenticator, настав час перезапустити його.

sudo service ssh restart

Спробуйте знову увійти на сервер. Цього разу вас попросять ввести код Authenticator.

ssh user@serverip

Authenticated with partial success.
Verification code:

Введіть код, який генерує ваша програма, і ви успішно ввійдете в систему.

Примітка

Якщо ви втратите телефон, використовуйте резервні коди з кроку 2. Якщо ви втратили резервні коди, ви завжди можете знайти їх у .google_authenticatorфайлі в домашньому каталозі користувача після входу через консоль Vultr.

Висновок

Наявність багатофакторної автентифікації значно покращує безпеку вашого сервера та дозволяє вам запобігти поширеним атакам грубої сили.

Інші версії

• Ubuntu
• CentOS