Skonfiguruj SSH do korzystania z uwierzytelniania dwuskładnikowego

Bezpieczna powłoka SSH jest często używana do uzyskiwania dostępu do zdalnych systemów Linux. Ponieważ często używamy go do łączenia się z komputerami zawierającymi ważne dane, zaleca się dodanie kolejnej warstwy bezpieczeństwa.Co to jest uwierzytelnianie dwuskładnikowe

Uwierzytelnianie wieloskładnikowe to metoda potwierdzania tożsamości przy użyciu co najmniej dwóch różnych sposobów uwierzytelniania. Najczęstszy i najłatwiejszy do wdrożenia przykład uwierzytelniania dwuskładnikowego wykorzystuje kombinację hasła (złożone hasło, często złożone z kilku słów) i jednorazowego hasła wygenerowanego przez specjalną aplikację mobilną.

Będziemy używać aplikacji Google Authenticator dostępnej na Androida (w Sklepie Play ) i iOS (w iTunes ) do generowania kodów uwierzytelniających.

Co będziesz potrzebował

  • Komputer z systemem Ubuntu 16.04 LTS lub nowszym
  • Telefon z systemem Android lub iOS
  • Skonfigurowane połączenie SSH
  • Powinieneś zrozumieć niebezpieczeństwo kradzieży haseł.
  • Nie musisz wiedzieć, czym jest uwierzytelnianie dwuskładnikowe i jak działa.

Instalowanie i konfigurowanie wymaganych pakietów

Instalowanie modułu PAM Google Authenticator

Rozpocznij sesję terminala i wpisz:

sudo apt install libpam-google-authenticator

Konfigurowanie SSH

Aby SSH używał modułu PAM Google Authenticator, dodaj do /etc/pam.d/sshd następujący wiersz :

auth required pam_google_authenticator.so

Teraz musisz zrestartować sshddemona, używając:

sudo systemctl restart sshd.service

Zmodyfikuj /etc/ssh/sshd_config– zmień ChallengeResponseAuthenticationnona yes, więc ta część pliku wygląda następująco:

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no # CHANGE THIS TO YES

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

Konfiguracja uwierzytelniania

Google Authenticator znacznie ułatwia konfigurację uwierzytelniania dwuskładnikowego.W terminalu uruchom polecenie

# google-authenticator.

 

Zadaje ci szereg pytań, oto zalecana konfiguracja:

  • Ustaw tokeny na „podstawę czasu”: tak
  • Zaktualizuj .google_authenticatorplik: tak
  • Nie zezwalaj na wiele zastosowań: tak
  • Zwiększ pierwotny limit czasowy generacji: nie
  • Włącz ograniczenie prędkości: tak

Być może zauważyłeś gigantyczny kod QR, który pojawił się podczas tego procesu. Poniżej znajdują się awaryjne kody które można wykorzystać, jeśli nie masz dostępu do telefonu: zapisz je na papierze i przechowuj w bezpiecznym miejscu.

To wszystko. Teraz otwórzmy Google Authenticator i dodaj nasz tajny klucz, aby działał.

WIZERUNEK

Nie używaj niezaszyfrowanych usług do przechowywania tajnych kluczy, takich jak usługa synchronizacji notatek itp. Jeśli nie chcesz ręcznie wpisywać klucza, użyj kodu QR.

4. Dodanie klucza do Google Authenticator

Użyjemy najnowszej wersji programu Authenticator ze Sklepu Play. Proces ten nie powinien wyglądać inaczej w systemie iOS.WIZERUNEK

Korzystanie z kodu QR

Kliknij ikonę Dodaj (+) i wybierz „Zeskanuj kod kreskowy”. Za pomocą aparatu w telefonie zeskanuj kod QR.

WIZERUNEK

Używanie klucza

Kliknij ikonę Dodaj (+) i wybierz „Wprowadź podany klucz”. Wpisz nazwę, którą rozpoznasz jako metodę 2FA dla SSH, a następnie wpisz tajny klucz podany w google-authenticator.

WIZERUNEK

źródło: ubuntu.com

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Translate »