Domovská » jak » Jak zabezpečit SSH pomocí dvoufaktorového ověřování Google Authenticator

    Jak zabezpečit SSH pomocí dvoufaktorového ověřování Google Authenticator

    Chcete zabezpečit svůj SSH server pomocí dvoufaktorové autentizace, kterou lze snadno použít? Společnost Google poskytuje potřebný software pro integraci systému jednorázového hesla (TOTP) systému Google Authenticator se serverem SSH. Budete muset zadat kód z telefonu, když se připojíte.

    Aplikace Google Authenticator neumožňuje společnosti Google telefonovat domů - veškerá práce se děje na vašem SSH serveru a telefonu. Ve skutečnosti je Google Authenticator zcela otevřený zdroj, takže můžete dokonce prozkoumat zdrojový kód sami.

    Nainstalujte aplikaci Google Authenticator

    Chcete-li implementovat vícefaktorovou autentizaci pomocí aplikace Google Authenticator, budeme potřebovat modul open-source Google Authenticator PAM. PAM znamená "pluggable autentifikační modul" - je to způsob, jak snadno připojit různé formy autentizace do systému Linux.

    Uložené softwarové repozitáře Ubuntu obsahují snadno nainstalovatelný balík pro modul PAM Google Authenticator. Pokud vaše distribuce Linux neobsahuje balíček, musíte si jej stáhnout ze stránky Google Authenticator ke stažení ve službě Google Code a zkompilovat ji sami.

    Chcete-li nainstalovat balíček na Ubuntu, spusťte následující příkaz:

    sudo apt-get nainstalovat libpam-google-authenticator

    (Tento modul nainstaluje pouze v našem systému - musíme jej ručně aktivovat při přihlašování SSH.)

    Vytvořte ověřovací klíč

    Přihlaste se jako uživatel, se kterým se vzdáleně přihlašujete a spusťte google-authenticator příkaz pro vytvoření tajného klíče pro daného uživatele.

    Příkaz povolte aktualizaci souboru Google Authenticator zadáním příkazu y. Poté budete vyzváni k zadání několika otázek, které vám umožní omezit použití stejného dočasného tokenu zabezpečení, zvýšit časové okno, ke kterému lze žetony použít, a omezit přípustné pokusy o přístup k zabránění pokusům o praskání hrubou silou. Tyto možnosti všechny obchodují s jistou jistotou pro snadnou obsluhu.

    Aplikace Google Authenticator vám předloží tajný klíč a několik "kódů nouzových škrábanců". Napište nouzové škrábací kódy někde v bezpečí - mohou být použity pouze jednou a jsou určeny k použití, pokud ztratíte telefon.

    Do telefonu zadejte tajný klíč v aplikaci Google Authenticator (oficiální aplikace jsou k dispozici pro Android, iOS a Blackberry). Můžete také použít funkci čárového kódu skenování - přejděte na adresu URL umístěnou v horní části výstupu příkazu a můžete skenovat kód QR pomocí kamery vašeho telefonu.

    Nyní budete mít v telefonu neustále se měnící ověřovací kód.

    Chcete-li se vzdáleně přihlásit jako více uživatelů, spusťte tento příkaz pro každého uživatele. Každý uživatel bude mít svůj vlastní tajný klíč a své vlastní kódy.

    Aktivujte službu Google Authenticator

    Dále budete muset pro službu Authenticator Google vyžadovat přihlašovací údaje SSH. Chcete-li tak učinit, otevřete /etc/pam.d/sshd soubor ve vašem systému (například pomocí příkazu sudo nano /etc/pam.d/sshd příkaz) a do souboru vložit následující řádek:

    auth potřeboval pam_google_authenticator.so

    Dále otevřete / etc / ssh / sshd_config soubor, vyhledejte soubor ChallengeResponseAuthentication line a změňte jej na následující:

    ChallengeResponseAuthentication ano

    (Pokud ChallengeResponseAuthentication linka dosud neexistuje, přidejte do souboru výše uvedený řádek.)

    Nakonec restartujte server SSH, aby se vaše změny projevily:

    sudo služba ssh restart

    Budete vyzváni k zadání hesla i kódu Google Authenticator při pokusu o přihlášení přes SSH.

    Jak zabezpečit své účty pomocí klávesy U2F nebo klávesy YubiKey
    Jak zabezpečit svůj účet Amazon
    Jak bezpečně zabezpečit službu Instant Messenger při práci se SecureCRT a SSH
    Další článek
    Jak zajistit správného kandidáta na rozhovor pro práci
    Předchozí článek
    Jak zabezpečit citlivé soubory na vašem PC pomocí VeraCrypt