Doriți să vă securizați serverul SSH cu ușor de utilizatautentificare cu doi factori? Google oferă software-ul necesar pentru a integra sistemul de parolă unică (TOTP) bazat pe timp de Google Authenticator cu serverul SSH. Va trebui să introduceți codul de pe telefon atunci când vă conectați.
Google Authenticator nu este „telefon acasă” laGoogle - toate lucrările se petrec pe serverul SSH și pe telefon. De fapt, Google Authenticator este complet open-source, așa că puteți chiar să examinați singur codul sursă.
Instalați Google Authenticator
Pentru a implementa autentificarea cu multifactor cuGoogle Authenticator, vom avea nevoie de modulul PAM pentru Google Open Authenticator. PAM reprezintă „modul de autentificare conectabil” - este o modalitate de a conecta cu ușurință diferite forme de autentificare într-un sistem Linux.
Depozitele de software ale Ubuntu conțin unpachet ușor de instalat pentru modulul PAM pentru Google Authenticator. Dacă distribuția dvs. Linux nu conține un pachet pentru aceasta, va trebui să o descărcați de pe pagina descărcărilor Google Authenticator de pe Codul Google și să o compilați singur.
Pentru a instala pachetul pe Ubuntu, executați următoarea comandă:
sudo apt-get install libpam-google-autentificator
(Acesta va instala numai modulul PAM pe sistemul nostru - va trebui să-l activăm manual pentru conectările SSH.)
Creați o cheie de autentificare
Conectați-vă ca utilizator cu care vă veți conecta de la distanță și rulați google-authenticator comanda de a crea o cheie secretă pentru acel utilizator.
Permiteți comanda să vă actualizați GoogleFișier autentificator tastând y. Vă veți solicita apoi mai multe întrebări care vă vor permite să restricționați utilizările aceluiași simbol de securitate temporară, să creșteți fereastra de timp pentru care pot fi utilizate token-urile și să limitați încercările de acces permise pentru a împiedica încercările de fisurare cu forță brută. Aceste alegeri vând toate securitatea pentru o ușurință de utilizare.
Google Authenticator vă va prezenta uncheie secretă și mai multe „coduri de zgârieturi de urgență”. Notează codurile de zgârieturi de urgență undeva în siguranță - pot fi utilizate doar o singură dată și sunt destinate utilizării dacă pierzi telefonul.
Introduceți cheia secretă în Google Authenticatoraplicație pe telefonul dvs. (aplicațiile oficiale sunt disponibile pentru Android, iOS și Blackberry). De asemenea, puteți utiliza funcția de scanare a codului de bare - accesați URL-ul situat în partea de sus a ieșirii comenzii și puteți scana un cod QR cu camera telefonului.
Acum veți avea un cod de verificare în continuă schimbare pe telefon.
Dacă doriți să vă autentificați de la distanță ca mai mulți utilizatori, executați această comandă pentru fiecare utilizator. Fiecare utilizator va avea propria sa cheie secretă și propriile coduri.
Activați Google Authenticator
În continuare, va trebui să solicitați Google Authenticator pentru autentificări SSH. Pentru a face acest lucru, deschideți /etc/pam.d/sshd fișier în sistemul dvs. (de exemplu, cu sudo nano /etc/pam.d/sshd comanda) și adăugați următoarea linie la fișier:
auth-ul necesar pam_google_authenticator.so
Apoi, deschideți tasta / Etc / ssh / sshd_config fișier, localizați ChallengeResponseAuthentication linie și schimbați-o pentru a citi astfel:
ChallengeResponseAuthentication da
(Dacă ChallengeResponseAuthentication linia nu există deja, adăugați linia de mai sus la fișier.)
În cele din urmă, reporniți serverul SSH astfel încât modificările dvs. vor avea efect:
sudo service ssh repornește
Vi se va solicita atât parola, cât și codul autentificator Google ori de câte ori încercați să vă conectați prin SSH.
