If-Koubou

SSH: n suojaaminen Google Authenticatorin kaksitekijäistunnistuksella

SSH: n suojaaminen Google Authenticatorin kaksitekijäistunnistuksella (Miten)

Haluatko suojata SSH-palvelimen helppokäyttöisellä kaksitasoisella todennuksella? Google tarjoaa tarvittavat ohjelmistot Google Authenticatorin aikapohjaisen salasanan (TOTP) järjestelmän integroimiseksi SSH-palvelimeen. Sinun on syötettävä koodi puhelimesta, kun muodostat yhteyden.

Google Authenticator ei "puhelin kotiin" Googlelle - kaikki työ tapahtuu SSH-palvelimellasi ja puhelimellasi. Itse asiassa Google Authenticator on täysin avoin lähdekoodi, joten voit jopa tarkastella lähdekoodia itse.

Asenna Google Authenticator

Monimuotoisen todentamisen käyttöönotosta Google Authenticatorilla tarvitaan avoimen lähdekoodin Google Authenticator PAM -moduuli. PAM tarkoittaa "pluggable authentication module" - se on helppo tapa kytkeä erilaiset tunnistusmuodot Linux-järjestelmään.

Ubuntun ohjelmistovarastot sisältävät helppokäyttöisen paketin Google Authenticator PAM -moduuliin. Jos Linux-jakelu ei sisällä tätä pakettia, sinun on ladattava Google-koodin Google Authenticator lataussivulta ja koota se itse.

Jos haluat asentaa paketin Ubuntuun, suorita seuraava komento:

sudo apt-get asenna libpam-google-authenticator

(Tämä asentaa vain PAM-moduulin järjestelmään - meidän on aktivoitava se SSH-kirjautumiseen manuaalisesti.)

Luo todennusavain

Kirjaudu sisään käyttäjänä, johon kirjaudut sisään etänä ja suorita google-authenticator komento luoda salainen avain kyseiselle käyttäjälle.

Salli komennon päivittää Google Authenticator -tiedosto kirjoittamalla y. Sinulta kysytään useita kysymyksiä, joiden avulla voit rajoittaa saman väliaikaisen tietoturvakoodin käyttötarkoituksia, lisätä aikataulua, jota voidaan käyttää, ja rajoittaa sallittujen yhteyksien yritetään estää hyökkääviä halkeamia. Nämä valinnat kaikki tarjoavat jonkin verran turvallisuutta joidenkin helppokäyttöisyyden vuoksi.

Google Authenticator antaa sinulle salaisen avaimen ja useita "hätätilan naarmuuntumiskoodeja". Kirjoita hätämerkkikoodit jonnekin turvalliseen - niitä voi käyttää vain kerran, ja ne on tarkoitettu käytettäväksi, jos menetät puhelimesi.

Anna salainen avain puhelimesi Google Authenticator -sovelluksessa (viralliset sovellukset ovat saatavilla Android-, iOS- ja Blackberry-laitteille). Voit käyttää myös skannauksen viivakoodi -ominaisuutta - siirry URL-osoitteeseen, joka sijaitsee komennon yläosan yläosassa ja voit skannata QR-koodin puhelimen kameraan.

Sinulla on nyt jatkuvasti muuttuva vahvistuskoodi puhelimeesi.

Jos haluat kirjautua etäyhteyteen useina käyttäjinä, suorita tämä komento jokaiselle käyttäjälle. Jokaisella käyttäjällä on oma salainen avain ja omat koodinsa.

Aktivoi Google Authenticator

Seuraavaksi sinun tulee vaatia Google Authenticator -ohjelmaa SSH-kirjautumisille. Voit tehdä tämän avaamalla /etc/pam.d/sshd tiedosto (esim sudo nano /etc/pam.d/sshd komento) ja lisää seuraava rivi tiedostoon:

auth tarvitaan pam_google_authenticator.so

Avaa sitten / Etc / ssh / sshd_config etsi tiedosto ChallengeResponseAuthentication riville ja muuta se lukemaan seuraavasti:

ChallengeResponseAuthentication kyllä

(Jos ChallengeResponseAuthentication rivi ei ole vielä olemassa, lisää yllä oleva viiva tiedostoon.)

Lopuksi käynnistä SSH-palvelin uudelleen niin, että muutokset tulevat voimaan:

sudo service ssh uudelleenkäynnistys

Sinua pyydetään sekä salasanallesi että Google Authenticator -koodille aina, kun yrität kirjautua SSH: n kautta.