SSH n suojaaminen Google Authenticatorin kaksivaiheisella todentamisella
Haluatko suojata SSH-palvelimesi helppokäyttöisellä kaksitekijällä? Google tarjoaa tarvittavan ohjelmiston Google Authenticatorin aikaperusteisen salasanan (TOTP) yhdistämiseksi SSH-palvelimeen. Sinun täytyy syöttää koodi puhelimesta, kun muodostat yhteyden.
Google Authenticator ei "puhelin kotiin" Googlelle - kaikki työ tapahtuu SSH-palvelimellasi ja puhelimellasi. Itse asiassa Google Authenticator on täysin avoimen lähdekoodin, joten voit jopa tutkia sen lähdekoodia itse.
Asenna Google Authenticator
Jotta monitoimitunnistus voidaan toteuttaa Google Authenticatorilla, tarvitsemme avoimen lähdekoodin Google Authenticator PAM -moduulin. PAM on lyhenne sanoista "pluggable authentication module" - se on helppo tapa liittää eri todentamismuodot Linux-järjestelmään.
Ubuntu-ohjelmiston arkistot sisältävät helppokäyttöisen paketin Google Authenticator PAM -moduulille. Jos Linux-jakelussa ei ole tätä varten pakettia, sinun on ladattava se Google Authenticatorin lataussivulta Google-koodissa ja koottava se itse.
Jos haluat asentaa paketin Ubuntuun, suorita seuraava komento:
sudo apt-get asenna libpam-google-authentator
(Tämä asentaa vain PAM-moduulin järjestelmään - meidän on aktivoitava se SSH-kirjautumisiin manuaalisesti.)
Luo todennusavain
Kirjaudu sisään, koska käyttäjä kirjautuu sisään etänä ja aja google-authenticator komento luoda salainen avain kyseiselle käyttäjälle.
Anna komennon päivittää Google Authenticator -tiedostosi kirjoittamalla y. Sitten sinua kehotetaan esittämään useita kysymyksiä, joiden avulla voit rajoittaa saman väliaikaisen turvatunnuksen käyttöä, lisätä aikakenttää, jota rahakkeita voidaan käyttää, ja rajoittaa sallittuja pääsyyrityksiä estääkseen raakavoiman krakkausyritykset. Nämä valinnat kauppaavat jonkin verran turvallisuutta jonkin helppokäyttöisyyden vuoksi.
Google Authenticator esittelee sinulle salaisen avaimen ja useita ”hätäkatkaisukoodeja”. Kirjoita hätätilanteen tyhjennyskoodit johonkin turvalliseen paikkaan - niitä voidaan käyttää vain kerran, ja ne on tarkoitettu käytettäväksi, jos menetät puhelimen.
Syötä salainen avain puhelimen Google Authenticator -sovellukseen (viralliset sovellukset ovat saatavilla Android, iOS ja Blackberry). Voit myös käyttää skannausviivakooditoimintoa - siirry komenton lähdön lähellä olevaan URL-osoitteeseen ja voit skannata QR-koodin puhelimen kameralla.
Sinulla on nyt jatkuvasti muuttuva vahvistuskoodi puhelimessasi.
Jos haluat kirjautua etänä useiksi käyttäjiksi, suorita tämä komento kullekin käyttäjälle. Jokaisella käyttäjällä on oma salainen avain ja omat koodit.
Aktivoi Google Authenticator
Seuraavaksi sinun on vaadittava Google Authenticatoria SSH-kirjautumisille. Voit tehdä sen avaamalla /etc/pam.d/sshd tiedosto (esimerkiksi sudo nano /etc/pam.d/sshd komento) ja lisää seuraava rivi tiedostoon:
auth vaaditaan pam_google_authenticator.so
Avaa seuraavaksi / Etc / ssh / sshd_config tiedosto, etsi ChallengeResponseAuthentication ja vaihda se seuraavasti:
ChallengeResponseAuthentication kyllä
(Jos ChallengeResponseAuthentication rivi ei ole jo olemassa, lisää yllä oleva rivi tiedostoon.)
Lopuksi käynnistä SSH-palvelin uudelleen, jotta muutokset tulevat voimaan:
sudo service ssh käynnistyy uudelleen
Sinulta kysytään sekä salasanasi että Google Authenticator -koodisi aina, kun yrität kirjautua sisään SSH: n kautta.