Kā nodrošināt SSH ar Google autentifikatora divu faktoru autentifikāciju
Vēlaties nodrošināt savu SSH serveri ar viegli lietojamu divu faktoru autentifikāciju? Google nodrošina nepieciešamo programmatūru, lai integrētu Google autentifikatora laika vienreizējās paroles (TOTP) sistēmu ar jūsu SSH serveri. Kad izveidojat savienojumu, kods būs jāievada tālrunī.
Google autentifikators „neuzsauc mājās” uz Google - viss darbs notiek jūsu SSH serverī un tālrunī. Faktiski Google autentifikators ir pilnīgi atvērts avots, tāpēc jūs pat varat pārbaudīt tās avota kodu.
Instalējiet Google autentifikatoru
Lai īstenotu daudzfaktoru autentifikāciju ar Google autentifikatoru, mums būs nepieciešams atvērtā koda Google autentifikatora PAM modulis. PAM apzīmē “pluggable authentication module” - tas ir veids, kā viegli pieslēgt dažādas autentifikācijas formas Linux sistēmai.
Ubuntu programmatūras krātuvēs ir viegli instalējama pakete Google autentifikatora PAM modulim. Ja jūsu Linux izplatīšanai nav paketes, jums tas ir jāielādē no Google autentifikatora lejupielādes lapas Google kodā un jākompensē pats.
Lai instalētu paketi Ubuntu, palaidiet šādu komandu:
sudo apt-get instalēt libpam-google-authentator
(Tas tikai instalēs PAM moduli mūsu sistēmā - tas ir jāaktivizē SSH pieteikšanās manuāli.)
Izveidojiet autentifikācijas atslēgu
Piesakieties, jo lietotājs varēsiet pieteikties ar attālinātu un palaist google-autentifikators komandu, lai šim lietotājam izveidotu slepeno atslēgu.
Ļaujiet komandai atjaunināt Google autentifikatora failu, ierakstot y. Tad jums tiks piedāvāti vairāki jautājumi, kas ļaus jums ierobežot viena pagaidu drošības marķiera lietošanu, palielināt laika logu, ko var izmantot par žetoniem, un ierobežot atļautos piekļuves mēģinājumus kavēt brutāla spēka krekinga mēģinājumus. Šīs izvēles dod zināmu drošību dažu vieglumu lietošanai.
Google autentifikators iepazīstinās jūs ar slepeno atslēgu un vairākiem „ārkārtas skrāpējumiem”. Pierakstiet ārkārtas skrāpējuma kodus kaut kur droši - tos var izmantot tikai vienu reizi, un tie ir paredzēti lietošanai, ja pazaudējat tālruni.
Ievadiet slepeno atslēgu savā Google autentifikatora lietotnē (oficiālās lietotnes ir pieejamas Android, iOS un Blackberry). Varat arī izmantot skenēšanas svītrkodu funkciju - dodieties uz URL, kas atrodas blakus komandas izejas augšdaļai, un jūs varat skenēt QR kodu ar tālruņa kameru.
Tagad tālrunī būs pastāvīgi mainīgs verifikācijas kods.
Ja vēlaties pieteikties attālināti kā vairāki lietotāji, palaidiet šo komandu katram lietotājam. Katram lietotājam būs sava slepenā atslēga un savi kodi.
Aktivizējiet Google autentifikatoru
Tālāk jums būs jāpieprasa Google autentifikators SSH pieteikumiem. Lai to izdarītu, atveriet /etc/pam.d/sshd failu jūsu sistēmā (piemēram, sudo nano /etc/pam.d/sshd komandu) un pievienojiet failu šādai rindai:
auth obligāti pam_google_authenticator.so
Pēc tam atveriet / etc / ssh / sshd_config failu, atrodiet ChallengeResponseAuthentication un mainiet to šādā redakcijā:
UzdevumsAtbildes apstiprināšana jā
(Ja ChallengeResponseAuthentication līnija vēl nepastāv, pievienojiet iepriekš minēto rindu failam.)
Visbeidzot, restartējiet SSH serveri, lai jūsu izmaiņas stātos spēkā:
sudo service ssh restart
Ikreiz, kad mēģināsiet pieteikties, izmantojot SSH, jums tiks piedāvāts ievadīt gan paroli, gan Google autentifikatora kodu.