Як налаштувати двофакторну аутентифікацію (2FA) для SSH на Debian 9 за допомогою Google Authenticator

Існує кілька способів входу на сервер через SSH. Методи включають вхід за допомогою пароля, вхід на основі ключа та двофакторну аутентифікацію.

Двофакторна аутентифікація є набагато кращим типом захисту. У випадку, якщо ваш комп’ютер буде зламано, зловмиснику все одно знадобиться код доступу для входу.

У цьому підручнику ви дізнаєтеся, як налаштувати двофакторну аутентифікацію в Debian 9 за допомогою Google Authenticator і SSH.

Передумови

• Сервер Debian 9 (або новіший).
• Користувач без права root з доступом sudo.
• Смартфон (Android або iOS) із встановленою програмою Google Authenticator. Ви також можете використовувати Authy або будь-яку іншу програму, яка підтримує вхід на основі одноразового пароля (TOTP).

Крок 1. Встановлення бібліотеки Google Authenticator Library

Нам потрібно встановити модуль бібліотеки Google Authenticator Library, доступний для Debian, який дозволить серверу зчитувати та перевіряти коди.

sudo apt update
sudo apt install libpam-google-authenticator -y

Крок 2. Налаштуйте Google Authenticator для кожного користувача

Налаштуйте модуль.

google-authenticator

Після виконання команди вам зададуть певні запитання. Перше питання будеDo you want authentication tokens to be time-based (y/n)

Натисніть, Yі ви отримаєте QR-код, секретний ключ, код підтвердження та аварійні резервні коди.

Дістаньте телефон і відкрийте програму Google Authenticator. Ви можете відсканувати QR-код або додати секретний ключ, щоб додати новий запис. Зробивши це, запишіть резервні коди та зберігайте їх десь у безпеці. Якщо ваш телефон загублений або пошкоджений, ви можете використовувати ці коди для входу.

Для решти запитань натисніть, Yколи попросять оновити .google_authenticatorфайл, Yщоб заборонити багаторазове використання одного токена, Nщоб збільшити часове вікно та Yввімкнути обмеження швидкості.

Вам доведеться повторити цей крок для всіх користувачів на вашому комп’ютері, інакше вони не зможуть увійти, коли ви закінчите цей посібник.

Крок 3. Налаштуйте SSH для використання Google Authenticator

Тепер, коли всі користувачі на вашому комп’ютері налаштували свою програму аутентифікації Google, настав час налаштувати SSH на використання цього методу аутентифікації замість поточного.

Введіть таку команду, щоб відредагувати sshdфайл.

sudo nano /etc/pam.d/sshd

Знайдіть рядок @include common-authі прокоментуйте його, як показано нижче.

# Standard Un*x authentication.
#@include common-auth

Додайте наступний рядок у нижню частину цього файлу.

auth required pam_google_authenticator.so

Натисніть CTRL+, Xщоб зберегти та вийти.

Далі введіть таку команду, щоб відредагувати sshd_configфайл.

sudo nano /etc/ssh/sshd_config

Знайдіть термін ChallengeResponseAuthenticationі встановіть його значення yes. Також знайдіть термін PasswordAuthentication, розкоментуйте його та змініть його значення на no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Наступним кроком є ​​додавання наступного рядка в нижню частину файлу.

AuthenticationMethods publickey,keyboard-interactive

Збережіть та закрийте файл, натиснувши CTRL+ X. Тепер, коли ми налаштували сервер SSH на використання Google Authenticator, настав час перезапустити його.

sudo service ssh restart

Спробуйте знову увійти на сервер. Цього разу вас попросять ввести код Authenticator.

ssh user@serverip

Authenticated with partial success.
Verification code:

Введіть код, який генерує ваша програма, і ви успішн�� ввійдете в систему.

Примітка

Якщо ви втратите телефон, використовуйте резервні коди з кроку 2. Якщо ви втратили свої резервні коди, ви завжди можете знайти їх у .google_authenticatorфайлі в домашньому каталозі користувача після входу через консоль Vultr.

Висновок

Двофакторна аутентифікація значно покращує безпеку вашого сервера та дозволяє запобігти поширеним атакам грубої сили.