Kuidas turvaline SSH Google Authenticatori kahe faktori autentimisega tagada
Kas soovite oma SSH-serveri turvalise kahekordse autentimisega kaitsta? Google pakub vajalikku tarkvara Google Authenticatori ajapõhise ühekordse parooli (TOTP) süsteemi integreerimiseks teie SSH serveriga. Ühenduse loomisel peate koodi sisestama oma telefonist.
Google Authenticator ei “Google'i kodus” - kõik toimingud toimuvad teie SSH-serveris ja telefonis. Tegelikult on Google Authenticator täiesti avatud, nii et saate isegi selle lähtekoodi ise uurida.
Installige Google Authenticator
Mitme teguri autentimise rakendamiseks Google Authenticatoriga vajame avatud lähtekoodiga Google Authenticator PAM moodulit. PAM tähistab „pistikühendatavat autentimismoodulit” - see on viis, kuidas hõlpsalt autentida erinevaid vorme Linuxi süsteemi.
Ubuntu tarkvarahoidlad sisaldavad lihtsasti installitavat paketti Google Authenticator PAM moodulile. Kui teie Linuxi levitamine ei sisalda selle paketti, peate selle Google'i autentimisseadme allalaadimise lehelt Google'i koodi alla laadima ja selle ise kompileerima.
Paketi Ubuntu installimiseks käivitage järgmine käsk:
sudo apt-get installige libpam-google-authentator
(See paigaldab meie süsteemis ainult PAM-mooduli - peame selle SSH-i sisselogimise jaoks käsitsi aktiveerima.)
Loo autentimisklahv
Logige sisse, kuna kasutaja saab sisse logida eemalt ja käivitada google-autentija käsk selle kasutaja jaoks salajase võtme loomiseks.
Luba käsk uuendada oma Google Authenticatori faili, sisestades y. Seejärel palutakse teil küsida mitmeid küsimusi, mis võimaldavad teil piirata sama ajutise turvakoodi kasutamist, suurendada ajakirja aknaid, mida saab kasutada, ja piirata lubatud ligipääsu katseid takistada brutse jõuga krakkimise katseid. Need valikud kauplevad mõningase turvalisuse pärast mõningase lihtsuse pärast.
Google Authenticator esitab teile salajase võtme ja mitu „hädaolukorra nullkoodi”. Kirjutage hädaolukorra nullkoodid kusagil turvaliselt - neid saab kasutada ainult üks kord ja nad on mõeldud kasutamiseks telefoni kaotamisel.
Sisestage oma telefoni Google Authenticatori rakenduses salajane võti (ametlikud rakendused on saadaval Android, iOS ja Blackberry jaoks). Võite kasutada ka skaneerimise vöötkoodi funktsiooni - minge käsu väljundi ülaosas asuva URL-i juurde ja saate skannida QR-koodi oma telefoni kaameraga.
Nüüd on telefonis pidevalt muutuv kinnituskood.
Kui soovite mitmel kasutajal eemalt sisse logida, käivitage see käsk iga kasutaja jaoks. Igal kasutajal on oma salajane võti ja oma koodid.
Aktiveerige Google Authenticator
Seejärel peate SSH sisselogimiseks nõudma Google Authenticatorit. Selleks avage /etc/pam.d/sshd faili (nt sudo nano /etc/pam.d/sshd käsk) ja lisage faili järgmine rida:
nõutav on pam_google_authenticator.so
Seejärel avage / etc / ssh / sshd_config leidke fail ChallengeResponseAuthentication ja muutke seda järgmiselt:
ChallengeResponseAuthentication jah
(Kui ChallengeResponseAuthentication rida ei ole juba olemas, lisage ülaltoodud rida faili.)
Lõpuks taaskäivitage SSH-server, nii et teie muudatused jõustuvad:
sudo service ssh restart
SSH kaudu sisselogimisel palutakse teil esitada nii oma parool kui ka Google Authenticatori kood.