Як налаштувати двофакторну аутентифікацію (2FA) для SSH на CentOS 6 за допомогою Google Authenticator

Після зміни порту SSH, налаштування портів та інших налаштувань безпеки SSH, можливо, є ще один спосіб захистити свій сервер; за допомогою двофакторної аутентифікації. Завдяки двофакторній автентифікації (2FA) людині знадобиться, щоб ваш мобільний пристрій отримав доступ до вашого SSH-сервера. Це може бути корисно для захисту від усіх атак грубого примусу та несанкціонованих спроб входу.

У цьому підручнику я поясню, як налаштувати 2FA на вашому сервері CentOS 6 за допомогою SSH і Google Authenticator.

Крок 1: Установка необхідних пакетів

Пакет "google-authenticator" існує в сховищі за замовчуванням для CentOS. Виконайте наступну команду як користувач root, щоб встановити її.

yum install pam pam-devel google-authenticator

Тепер, коли це встановлено на вашому сервері, вам потрібно буде встановити програму «Google Authenticator» на своєму мобільному пристрої.

• Завантажити для пристроїв Android
• Завантажити для пристроїв iOS

Після встановлення тримайте свій мобільний пристрій доступним, оскільки нам все ще потрібно налаштувати 2FA.

Крок 2: Налаштування програмного забезпечення

Спочатку увійдіть через SSH як користувач, якого ви хочете захистити.

Виконайте таку команду:

 google-authenticator

Натисніть «y» у першому повідомленні, де вас запитає, чи бажаєте ви оновити ./google_authenticatorфайл. Коли вам буде запропоновано заборонити багаторазове використання, знову натисніть «y», щоб інший користувач не міг використовувати ваш код. Для решти параметрів натисніть «y», оскільки всі вони покращують ефективність цього програмного забезпечення.

Чудово! Переконайтеся, що ви скопіювали секретний ключ і аварійні скретч-коди на аркуші паперу.

Тепер нам потрібно налаштувати PAM на використання 2FA.

Для цієї статті я буду використовувати nano як бажаний текстовий редактор. Виконайте наступну команду як root.

nano /etc/pam.d/sshd

Додайте наступний рядок у верхній частині файлу.

 auth required pam_google_authenticator.so 

Збережіть, а потім закрийте редактор.

Далі налаштуйте демон SSH на використання 2FA.

nano /etc/ssh/sshd_config

Знайдіть рядок, що нагадує «ChallengeResponseAuthentication no», і змініть «ні» на «так».

Перезапустіть SSH-сервер:

service sshd restart

Крок 3. Налаштування Google Authenticator на вашому мобільному пристрої

Щоб налаштувати це програмне забезпечення, нам потрібно додати до нього секретний ключ. Знайдіть опцію «ввести ключ вручну» та торкніться її. Введіть секретний ключ, який ви записали раніше, і збережіть. Тепер з’явиться код, який час від часу оновлюватиметься. Відтепер це знадобиться для входу на сервер SSH.

Висновок

Метою двофакторної аутентифікації є підвищення безпеки вашого сервера. Оскільки ніхто інший не матиме доступу до вашого мобільного пристрою, вони не зможуть дізнатися код для входу на ваш сервер.

Інші версії

• Ubuntu
• CentOS