Pagina principala » HOWTO » Cum se asigură SSH cu autentificarea în doi factori a Authenticator Google

    Cum se asigură SSH cu autentificarea în doi factori a Authenticator Google

    Doriți să vă asigurați serverul SSH cu autentificare cu două factori, ușor de utilizat? Google oferă software-ul necesar pentru integrarea sistemului de parole unice de timp (TOTP) al aplicației Google Authenticator cu serverul SSH. Va trebui să introduceți codul de pe telefon atunci când vă conectați.

    Aplicația Google Authenticator nu "trimite la telefon acasă" la Google - toate lucrările se întâmplă pe serverul SSH și pe telefon. De fapt, Google Authenticator este complet open-source, astfel încât să puteți examina chiar și codul sursă.

    Instalați Google Authenticator

    Pentru a implementa autentificarea multifactorială cu Google Authenticator, vom avea nevoie de modulul Google Authenticator PAM cu sursă deschisă. PAM înseamnă "modul de autentificare pluggable" - este o modalitate de a conecta cu ușurință diferite forme de autentificare într-un sistem Linux.

    Programele de stocare software Ubuntu conțin un pachet ușor de instalat pentru modulul Google Authenticator PAM. Dacă distribuția dvs. Linux nu conține un pachet pentru aceasta, va trebui să o descărcați din pagina de descărcări Google Authenticator din Google Code și să o compilați.

    Pentru a instala pachetul pe Ubuntu, executați următoarea comandă:

    sudo apt-get instalează libpam-google-autenator

    (Aceasta va instala doar modulul PAM pe sistemul nostru - va trebui să îl activăm manual pentru autentificările SSH).

    Creați o cheie de autentificare

    Conectați-vă ca utilizator pe care îl veți conecta de la distanță și executați google-authenticator comandă pentru a crea o cheie secretă pentru acel utilizator.

    Permiteți comenzii să actualizeze fișierul dvs. Google Authenticator introducând y. Apoi, vi se va cere câteva întrebări care vă vor permite să restricționați utilizarea aceluiași token de securitate temporar, să creșteți fereastra de timp pentru care pot fi folosite tokenurile și să limitați încercările de acces permise pentru a împiedica încercările de crăpare a forței brute. Aceste alegeri vizează toate securitatea pentru o ușurință în utilizare.

    Google Authenticator vă va prezenta o cheie secretă și mai multe "coduri de zgârieturi de urgență". Scrieți codurile de zgârieturi de urgență undeva în siguranță - acestea pot fi utilizate o singură dată și sunt destinate utilizării dacă vă pierdeți telefonul.

    Introduceți cheia secretă în aplicația Google Authenticator de pe telefonul dvs. (aplicațiile oficiale sunt disponibile pentru Android, iOS și Blackberry). De asemenea, puteți utiliza funcția de scanare a codului de bare - mergeți la adresa URL situată în partea de sus a ieșirii comenzii și puteți scana un cod QR cu camera telefonului dvs..

    Veți avea acum un cod de verificare în mod constant în telefon.

    Dacă doriți să vă conectați de la distanță ca mai mulți utilizatori, executați această comandă pentru fiecare utilizator. Fiecare utilizator va avea propria cheie secretă și propriile coduri.

    Activați Google Authenticator

    În continuare, va trebui să solicitați autentificarea Google pentru autentificări SSH. Pentru a face acest lucru, deschideți /etc/pam.d/sshd fișier în sistemul dvs. (de exemplu, cu sudo nano /etc/pam.d/sshd comanda) și adăugați următoarea linie în fișier:

    autorul a solicitat pam_google_authenticator.so

    Apoi deschideți / Etc / ssh / sshd_config fișier, localizați ChallengeResponseAuthentication line și modificați-l astfel:

    ChallengeResponseAuthentication da

    (În cazul în care ChallengeResponseAuthentication linia nu există deja, adăugați linia de mai sus în fișier.)

    În cele din urmă, reporniți serverul SSH, astfel încât modificările dvs. să se producă:

    sudo serviciu ssh reporniți

    Vi se va solicita atât parola, cât și codul dvs. Google Authenticator ori de câte ori încercați să vă conectați prin SSH.