Početna » kako da » Kako osigurati SSH s autentifikacijom dva faktora Google Autentifikatora

    Kako osigurati SSH s autentifikacijom dva faktora Google Autentifikatora

    Želite li osigurati svoj SSH poslužitelj pomoću jednostavne provjere autentičnosti u dva faktora? Google osigurava potreban softver za integraciju sustava vremenske jednokratne zaporke usluge Google Autentifikator (TOTP) s vašim SSH poslužiteljem. Kod povezivanja morate unijeti kôd s telefona.

    Google autentifikator ne šalje "početnu stranicu" Googleu - sav se posao odvija na vašem SSH poslužitelju i vašem telefonu. Zapravo, Google Autentifikator je potpuno otvorenog koda, tako da ga čak možete i sami pregledati.

    Instalirajte Google Autentifikator

    Za implementaciju multifaktorske provjere autentičnosti s Google Autentifikatorom trebat će nam PAM modul otvorenog koda Google Autentifikatora. PAM je skraćenica za "pluggable authentication module" - to je način da se jednostavno uključe različiti oblici provjere autentičnosti u Linux sustav.

    Skladišta softvera za Ubuntu sadrže paket koji se lako instalira za PAM modul Google Autentifikatora. Ako vaša distribucija na Linuxu ne sadrži paket za to, morat ćete ga preuzeti sa stranice Google Učitavanje Autentifikatora na Google Code i sami sastaviti.

    Da biste instalirali paket na Ubuntu, pokrenite sljedeću naredbu:

    sudo apt-get install libpam-google-authenticator

    (Ovo će instalirati samo PAM modul na našem sustavu - morat ćemo ga aktivirati ručno za SSH prijave.)

    Stvorite ključ za provjeru autentičnosti

    Prijavite se kao korisnik s kojim ćete se prijaviti na daljinu i pokrenuti Google-autentikator naredbu za stvaranje tajnog ključa za tog korisnika.

    Dopustite naredbi da ažurira datoteku Google Autentifikatora upisivanjem y. Zatim će se pojaviti nekoliko pitanja koja će vam omogućiti da ograničite korištenje istog privremenog sigurnosnog tokena, povećate vremenski okvir za koji se tokeni mogu koristiti i ograničite pristup koji pokušava spriječiti pokušaje pucanja. Ovi izbori sve nude sigurnost za neku jednostavnost korištenja.

    Google Autentifikator predstavit će vam tajni ključ i nekoliko "hitnih kodova za brisanje". Zapišite negativne kodove za brisanje negdje gdje su sigurni - oni se mogu koristiti samo jedanput i namijenjeni su za korištenje ako izgubite telefon.

    Unesite tajni ključ u aplikaciju Google Autentifikator na telefonu (službene aplikacije dostupne su za Android, iOS i Blackberry). Također možete koristiti značajku barkoda skeniranja - idite na URL koji se nalazi pri vrhu izlaza naredbe i možete skenirati QR kod pomoću fotoaparata telefona.

    Sada ćete na telefonu imati stalno mijenjani kontrolni kôd.

    Ako se želite prijaviti daljinski kao više korisnika, pokrenite ovu naredbu za svakog korisnika. Svaki će korisnik imati svoj tajni ključ i vlastite kodove.

    Aktivirajte Google Autentifikator

    Zatim ćete morati zatražiti Google Autentifikator za SSH prijave. Da biste to učinili, otvorite /etc/pam.d/sshd na vašem sustavu (na primjer, s sudo nano /etc/pam.d/sshd naredbu) i dodajte sljedeći redak u datoteku:

    auth potrebno pam_google_authenticator.so

    Zatim otvorite / Etc / ssh / sshd_config datoteku, pronađite ChallengeResponseAuthentication i promijenite je na sljedeći način:

    ChallengeResponseAuthentication da

    (Ako ChallengeResponseAuthentication redak već ne postoji, dodajte gornju liniju u datoteku.)

    Konačno, ponovno pokrenite SSH poslužitelj kako bi vaše promjene stupile na snagu:

    sudo usluga ssh ponovno pokretanje

    Kada se pokušate prijaviti putem SSH-a, od vas će se tražiti lozinka i kôd Google Autentifikatora.