Kaip apsaugoti SSH su „Google“ autentifikatoriaus dviejų veiksnių autentifikacija
Norite apsaugoti savo SSH serverį naudojant paprastą dviejų faktorių autentifikavimą? „Google“ teikia reikiamą programinę įrangą, kad integruotų „Google“ autentifikatoriaus laiko vienkartinio slaptažodžio (TOTP) sistemą su jūsų SSH serveriu. Prisijungdami turėsite įvesti kodą iš savo telefono.
„Google“ autentifikatorius „ne„ telefonuoja “į„ Google “- visa tai vyksta jūsų SSH serveryje ir telefone. Tiesą sakant, „Google“ autentifikatorius yra visiškai atviras šaltinis, todėl jūs netgi galite išnagrinėti jo šaltinį.
Įdiekite „Google“ autentifikavimo priemonę
Norėdami įdiegti daugiafunkcinį autentifikavimą naudojant „Google“ autentifikatorių, mums reikės atviro kodo „Google“ autentifikavimo priemonės „PAM“ modulio. PAM - „pluggable authentication module“ - tai būdas lengvai prijungti įvairias autentifikavimo formas į „Linux“ sistemą.
„Ubuntu“ programinės įrangos saugyklose yra lengvai įdiegiamas „Google“ autentifikatoriaus PAM modulio paketas. Jei jūsų „Linux“ platinimo programoje nėra paketo, turėsite jį atsisiųsti iš „Google“ autentifikavimo priemonės „Google“ kodo puslapio ir surinkti ją patys.
Norėdami įdiegti paketą „Ubuntu“, paleiskite šią komandą:
sudo apt-get įdiegti „libpam-google-authentator“
(Tai įdiegs tik mūsų sistemoje esantį PAM modulį - mes turėtume jį aktyvuoti SSH prisijungimu rankiniu būdu.)
Sukurti autentifikavimo raktą
Prisijunkite, nes naudotojas galėsite prisijungti nuotoliniu būdu ir paleisti „google“ autentifikatorius komandai sukurti slaptą raktą šiam vartotojui.
Leiskite komandai atnaujinti „Google“ autentifikatoriaus failą įvesdami y. Tada jums bus pasiūlyta keletas klausimų, kurie leis jums apriboti to paties laikino saugumo raktinio žodžio naudojimą, padidinti laiko langą, kuriuo gali būti naudojami žetonai, ir apriboti leistinus prieigos bandymus trukdyti brutalios jėgos krekingo bandymams. Šie pasirinkimai prekiauja tam tikru saugumu dėl tam tikro paprastumo.
„Google Authenticator“ pateiks jums slaptą raktą ir kelis „avarinius braižymo kodus“. Užrašykite avarinius braižymo kodus kažkur saugiai - jie gali būti naudojami tik vieną kartą, ir jie skirti naudoti, jei prarasite savo telefoną.
Įveskite slaptą raktą „Google“ autentifikavimo programos telefone (oficialios programos yra skirtos „Android“, „iOS“ ir „Blackberry“). Taip pat galite naudoti nuskaitymo brūkšninio kodo funkciją - eikite į URL, esančią šalia komandos išvesties viršaus, ir galite nuskaityti QR kodą su savo telefono fotoaparatu.
Dabar telefone bus nuolat keičiamas patvirtinimo kodas.
Jei norite prisijungti nuotoliniu būdu kaip keli naudotojai, paleiskite šią komandą kiekvienam vartotojui. Kiekvienas vartotojas turės savo slaptą raktą ir savo kodus.
Suaktyvinkite „Google“ autentifikavimo priemonę
Po to turėsite reikalauti „Google“ autentifikatoriaus SSH prisijungimams. Norėdami tai padaryti, atidarykite /etc/pam.d/sshd failą sistemoje (pvz., sudo nano /etc/pam.d/sshd komandą) ir į failą pridėkite šią eilutę:
reikalingas pam_google_authenticator.so
Tada atidarykite / etc / ssh / sshd_config failą, suraskite ChallengeResponseAuthentication linija ir pakeiskite ją taip:
IššūkisAtsakymasAutentacija taip
(Jei ChallengeResponseAuthentication eilutė dar neegzistuoja, pridėkite aukščiau pateiktą eilutę į failą.)
Galiausiai, iš naujo paleiskite SSH serverį, kad pakeitimai įsigaliotų:
sudo service ssh restart
Kai bandysite prisijungti per SSH, būsite paraginti įvesti ir slaptažodį, ir „Google“ autentifikavimo kodą.