Sådan sikres SSH med Google Authenticators Two Factor Authentication
Ønsker du at sikre din SSH-server med nem at bruge to-faktor-godkendelse? Google leverer den nødvendige software til at integrere Google Authenticators tidsbaserede engangsadgangskode (TOTP) -system med din SSH-server. Du skal indtaste koden fra din telefon, når du tilslutter.
Google Authenticator "ikke hjem" til Google - alt arbejde sker på din SSH-server og din telefon. Faktisk er Google Authenticator helt åben kilde, så du kan selv undersøge sin kildekode selv.
Installer Google Authenticator
For at implementere multifaktor-godkendelse med Google Authenticator skal vi bruge PAM-modulet til Google Authenticator med åben kilde. PAM står for "pluggable authentication module" - det er en måde at nemt tilslutte forskellige former for godkendelse til et Linux-system.
Ubuntus software repositories indeholder en nem at installere pakke til Google Authenticator PAM modulet. Hvis din Linux-distribution ikke indeholder en pakke til dette, skal du downloade den fra Google Authenticator-overførselssiden på Google Code og kompilere det selv.
For at installere pakken på Ubuntu skal du køre følgende kommando:
sudo apt-get installer libpam-google-autentificering
(Dette installerer kun PAM-modulet på vores system - vi skal aktivere det for SSH logins manuelt.)
Opret en godkendelsesnøgle
Log ind som bruger, du logger ind med fjernadgang og kører google-autentifikator kommando for at oprette en hemmelig nøgle til den bruger.
Tillad kommandoen at opdatere din Google Authenticator-fil ved at skrive y. Du bliver derefter bedt om flere spørgsmål, der giver dig mulighed for at begrænse brugen af det samme midlertidige sikkerhedstoken, øge det tidsvindue, som tokens kan bruges til, og begrænse tilladte adgangsforsøg for at forhindre brutal force cracking forsøg. Disse valg alle handler om en vis sikkerhed for nogle brugervenlige.
Google Authenticator vil præsentere dig med en hemmelig nøgle og flere "nødskraberkoder". Skriv ned nødskrabekoderne et sted sikkert - de kan kun bruges én gang hver og de er beregnet til brug, hvis du mister telefonen.
Indtast den hemmelige nøgle i Google Authenticator-appen på din telefon (officielle apps er tilgængelige for Android, iOS og Blackberry). Du kan også bruge scanning stregkode-funktionen - gå til webadressen placeret øverst på kommandos output, og du kan scanne en QR-kode med telefonens kamera.
Du får nu en konstant skiftende bekræftelseskode på din telefon.
Hvis du vil logge ind eksternt som flere brugere, skal du køre denne kommando for hver bruger. Hver bruger vil have deres egen hemmelige nøgle og deres egne koder.
Aktivér Google Authenticator
Derefter skal du kræve Google Authenticator til SSH login. For at gøre det skal du åbne /etc/pam.d/sshd fil på dit system (for eksempel med sudo nano /etc/pam.d/sshd kommando) og tilføj følgende linje til filen:
auth kræves pam_google_authenticator.so
Herefter åbner du / Etc / ssh / sshd_config fil, find den ChallengeResponseAuthentication linje og ændre det for at læse som følger:
ChallengeResponseAuthentication ja
(Hvis ChallengeResponseAuthentication linje eksisterer ikke allerede, tilføj ovenstående linje til filen.)
Endelig genstart SSH-serveren, så dine ændringer træder i kraft:
sudo service ssh genstart
Du bliver bedt om både din adgangskode og Google Authenticator-kode, når du forsøger at logge ind via SSH.