If-Koubou

Cum se asigură SSH cu autentificarea în doi factori a aplicatorului Google Authenticator

Cum se asigură SSH cu autentificarea în doi factori a aplicatorului Google Authenticator (Cum să)

Doriți să vă asigurați serverul SSH cu autentificare cu două factori, ușor de utilizat? Google furnizează software-ul necesar pentru integrarea sistemului de parole unice de timp (TOTP) al aplicației Google Authenticator cu serverul SSH. Va trebui să introduceți codul de pe telefon atunci când vă conectați.

Aplicația Google Authenticator nu trimite "telefonul acasă" la Google - toate lucrările se întâmplă pe serverul SSH și pe telefon. De fapt, Google Authenticator este complet open-source, astfel încât să puteți examina chiar și codul sursă.

Instalați Google Authenticator

Pentru a implementa autentificarea multifactorială cu Google Authenticator, vom avea nevoie de modulul Google Authenticator PAM cu sursă deschisă. PAM înseamnă "modul de autentificare pluggable" - este o modalitate de a conecta cu ușurință diferite forme de autentificare într-un sistem Linux.

Depozitele de software Ubuntu conțin un pachet ușor de instalat pentru modulul Google Authenticator PAM. Dacă distribuția dvs. Linux nu conține un pachet pentru aceasta, va trebui să o descărcați din pagina de descărcări Google Authenticator din Google Code și să o compilați singură.

Pentru a instala pachetul pe Ubuntu, executați următoarea comandă:

sudo apt-get instalează libpam-google-autenator

(Acest lucru va instala doar modulul PAM pe sistemul nostru - va trebui să îl activăm manual pentru login-urile SSH).

Creați o cheie de autentificare

Conectați-vă ca utilizator pe care îl veți conecta de la distanță și executați google-authenticator comandă pentru a crea o cheie secretă pentru acel utilizator.

Permiteți comenzii să actualizeze fișierul dvs. Google Authenticator introducând y. Apoi, vi se va cere câteva întrebări care vă vor permite să restricționați utilizarea aceluiași token de securitate temporar, să creșteți fereastra de timp pentru care pot fi utilizate jetoanele și să limitați încercările de acces permise pentru a împiedica încercările de crăpare a forței brute. Aceste alegeri comerciale toate de securitate unele pentru unele usurinta de utilizare.

Google Authenticator vă va prezenta o cheie secretă și mai multe "coduri de zgârieturi de urgență". Scrieți codurile de zgârieturi de urgență undeva în siguranță - acestea pot fi utilizate o singură dată și sunt destinate utilizării dacă vă pierdeți telefonul.

Introduceți cheia secretă în aplicația Google Authenticator pe telefonul dvs. (aplicațiile oficiale sunt disponibile pentru Android, iOS și Blackberry). De asemenea, puteți utiliza funcția de scanare a codului de bare - mergeți la adresa URL situată în partea de sus a ieșirii comenzii și puteți scana un cod QR cu camera telefonului dvs.

Veți avea acum un cod de verificare în continuă schimbare pe telefon.

Dacă doriți să vă conectați la distanță ca mai mulți utilizatori, executați această comandă pentru fiecare utilizator. Fiecare utilizator va avea propria cheie secretă și propriile coduri.

Activați Google Authenticator

În continuare, va trebui să solicitați Google Authenticator pentru autentificările SSH. Pentru a face acest lucru, deschideți /etc/pam.d/sshd fișier în sistemul dvs. (de exemplu, cu sudo nano /etc/pam.d/sshd comanda) și adăugați următoarea linie în fișier:

auth a solicitat pam_google_authenticator.so

Apoi, deschideți / Etc / ssh / sshd_config fișier, localizați ChallengeResponseAuthentication line și modificați-l astfel:

ChallengeResponseAuthentication da

(În cazul în care ChallengeResponseAuthentication linia nu există deja, adăugați linia de mai sus în fișier.)

În cele din urmă, reporniți serverul SSH, astfel încât modificările să se producă:

sudo service ssh reporniți

Veți fi solicitat atât parola, cât și codul dvs. Google Authenticator ori de câte ori încercați să vă conectați prin SSH.