Ako zabezpečiť SSH pomocou overenia totožnosti dvoch autentifikátorov Google Authenticator
Chcete zabezpečiť váš SSH server pomocou ľahko použiteľnej dvojfaktorovej autentifikácie? Spoločnosť Google poskytuje potrebný softvér na integráciu systému jednorazového hesla (TOTP) systému Google Authenticator so serverom SSH. Po pripojení budete musieť z vášho telefónu zadať kód.
Aplikácia Google Authenticator neposkytuje službu Google doma - všetka práca sa deje na serveri SSH a telefóne. V skutočnosti je aplikácia Google Authenticator úplne open-source, takže si dokonca môžete prezrieť zdrojový kód sami.
Nainštalujte službu Google Authenticator
Ak chcete implementovať overovanie s viacerými faktormi pomocou aplikácie Google Authenticator, budeme potrebovať modul open-source Google Authenticator PAM. PAM znamená "pluggable autentifikačný modul" - je to spôsob, ako ľahko pripojiť rôzne formy autentifikácie do systému Linux.
Softvérové úložiská Ubuntu obsahujú jednoduchý balík na inštaláciu modulu Google Authenticator PAM. Ak vaša distribúcia Linuxu neobsahuje balík, musíte si ju prevziať zo stránky sťahovania aplikácie Google Authenticator v službe Google Code a zostaviť ju sami.
Ak chcete nainštalovať balík na Ubuntu, spustite nasledujúci príkaz:
sudo apt-get nainštalujte libpam-google-authenticator
(Tým sa nainštaluje modul PAM iba v našom systéme - musíme ho aktivovať pre prihlasovanie SSH manuálne.)
Vytvorte overovací kľúč
Prihláste sa ako používateľ, ktorý sa prihlásite na diaľku a spustite ho google-authenticator Príkaz vytvoriť tajný kľúč pre daného používateľa.
Povolenie príkazu aktualizovať súbor aplikácie Google Authenticator zadaním y. Potom budete vyzvaní na niekoľko otázok, ktoré vám umožnia obmedziť používanie rovnakého dočasného bezpečnostného tokenu, zvýšiť časové okno, v ktorom sa môžu používať žetóny, a obmedziť povolené prístupové pokusy na zabránenie pokusom o prasknutie hrubou silou. Tieto možnosti všetci obchodujú s určitým zabezpečením, pretože sú ľahko použiteľné.
Aplikácia Google Authenticator vám ukáže tajný kľúč a niekoľko "núdzových kódov." Zápisy núdzových kódov niekde v bezpečí - môžu sa použiť iba raz a sú určené na použitie, ak stratíte telefón.
Zadajte tajný kľúč do aplikácie Google Authenticator na telefóne (oficiálne aplikácie sú k dispozícii pre Android, iOS a Blackberry). Môžete tiež použiť funkciu skenovania čiarového kódu - prejdite na adresu URL umiestnenú v hornej časti výstupu príkazu a môžete skenovať kód QR pomocou kamery telefónu.
Teraz budete mať na telefóne neustále sa meniaci verifikačný kód.
Ak sa chcete prihlásiť na diaľku ako viacerí používatelia, spustite tento príkaz pre každého používateľa. Každý používateľ bude mať svoj vlastný tajný kľúč a svoje vlastné kódy.
Aktivujte službu Google Authenticator
Ďalej budete musieť vyžadovať službu Google Authenticator na prihlásenie do služby SSH. Ak to chcete urobiť, otvorte ho /etc/pam.d/sshd súbor na vašom systéme (napr sudo nano /etc/pam.d/sshd príkaz) a do súboru pridajte nasledujúci riadok:
auth potrebuje pam_google_authenticator.so
Ďalej otvorte súbor / Etc / ssh / sshd_config súbor, nájdite súbor challenge-response line a zmeňte ho takto:
ChallengeResponseAuthentication yes
(Ak challenge-response riadok ešte neexistuje, pridajte do súboru vyššie uvedený riadok.)
Nakoniec reštartujte server SSH, aby sa vaše zmeny prejavili:
sudo služba ssh restart
Pri pokuse o prihlásenie cez službu SSH sa zobrazí výzva na zadanie hesla aj kódu Google Authenticator.