Vēlaties nodrošināt savu SSH serveri ar viegli lietojamudivu faktoru autentifikācija? Google nodrošina nepieciešamo programmatūru, lai integrētu Google Authenticator vienreizējās paroles (TOTP) sistēmu ar jūsu SSH serveri. Kad būs izveidots savienojums, jums būs jāievada kods no tālruņa.
Google autentifikatoram nav “tālruņa mājas”Google - viss darbs notiek jūsu SSH serverī un tālrunī. Faktiski Google autentifikators ir pilnīgi atvērts avots, tāpēc jūs pat varat pārbaudīt tā avota kodu.
Instalējiet Google Authenticator
Ieviest daudzfaktoru autentifikāciju arGoogle autentifikators, mums būs nepieciešams atvērtā koda Google autentifikatora PAM modulis. PAM nozīmē “pieslēdzams autentifikācijas modulis” - tas ir veids, kā viegli pievienot Linux sistēmā dažādas autentifikācijas formas.
Ubuntu programmatūras krātuvēs irviegli instalējama pakete Google Authenticator PAM modulim. Ja jūsu Linux izplatījumā nav paketes tam, jums tas būs jālejupielādē no Google Code Google Authenticator lejupielādes lapas un jāapkopo pats.
Lai instalētu pakotni Ubuntu, palaidiet šo komandu:
sudo apt-get install libpam-google-Autenator
(Tas mūsu sistēmā instalēs tikai PAM moduli - SSH pieteikšanās tas būs jāaktivizē manuāli.)
Izveidojiet autentifikācijas atslēgu
Piesakieties kā lietotājs, ar kuru piesakāties attālināti, un palaidiet google autentifikators komandu, lai izveidotu slepenu atslēgu šim lietotājam.
Ļaut komandai atjaunināt jūsu GoogleAutentifikatora fails, ierakstot y. Pēc tam jums tiks piedāvāti vairāki jautājumi, kas ļaus jums ierobežot viena un tā paša pagaidu drošības marķiera izmantošanu, palielināt laika periodu, kurā žetonus var izmantot, un ierobežot atļauto piekļuves mēģinājumus kavēt brutālu spēku uzlaušanas mēģinājumus. Šīs izvēles padara zināmu drošību zināmai lietošanas ērtībai.
Google autentifikators jums parādīsslepenā atslēga un vairāki “ārkārtas nulles kodi”. Drošā vietā pierakstiet ārkārtas nulles kodus - tos var izmantot tikai vienu reizi, un tie ir paredzēti lietošanai pazaudējot tālruni.
Google autentifikatorā ievadiet slepeno atslēgulietotni tālrunī (oficiālas lietotnes ir pieejamas operētājsistēmām Android, iOS un Blackberry). Varat arī izmantot skenēšanas svītrkoda funkciju - dodieties uz URL, kas atrodas netālu no komandas izvades augšdaļas, un varat skenēt QR kodu ar sava tālruņa kameru.
Jums tagad tālrunī būs pastāvīgi mainīgs verifikācijas kods.
Ja vēlaties pieteikties attālināti kā vairāki lietotāji, palaidiet šo komandu katram lietotājam. Katram lietotājam būs sava slepenā atslēga un savi kodi.
Aktivizējiet Google Authenticator
Pēc tam jums būs jāpieprasa Google Authenticator SSH pieteikšanās. Lai to izdarītu, atveriet /etc/pam.d/sshd failu savā sistēmā (piemēram, ar sudo nano /etc/pam.d/sshd komanda) un pievienojiet failam šādu rindu:
Auth nepieciešama pam_google_authenticator.so
Pēc tam atveriet / etc / ssh / sshd_config failā atrodiet ChallengeResponseAuthentication rindā un mainiet to šādi:
ChallengeResponseAuthentication jā
(Ja ChallengeResponseAuthentication rinda vēl neeksistē, pievienojiet failā iepriekš norādīto rindu.)
Visbeidzot, restartējiet SSH serveri, lai jūsu izmaiņas stātos spēkā:
sudo servisa ssh restartēšana
Ikreiz, kad mēģināsit pieteikties, izmantojot SSH, jums tiks prasīts norādīt gan paroli, gan Google autentifikatora kodu.
