Hemsida » hur » Så här säkrar du SSH med Google Authenticators tvåfaktorautentisering

    Så här säkrar du SSH med Google Authenticators tvåfaktorautentisering

    Vill du säkra din SSH-server med lättanvänd tvåfaktorsautentisering? Google tillhandahåller den nödvändiga programvaran för att integrera Google Authenticators tidsbaserade engångslösenord (TOTP) -system med din SSH-server. Du måste ange koden från din telefon när du ansluter.

    Google Authenticator "inte hemma" till Google - allt arbete händer på din SSH-server och din telefon. I själva verket är Google Authenticator helt öppen källkod, så du kan även granska källkoden själv.

    Installera Google Authenticator

    För att implementera multifaktorautentisering med Google Authenticator behöver vi PAM-modulen med öppen källkod för Google Authenticator. PAM står för "pluggbar autentiseringsmodul" - det är ett sätt att enkelt ansluta olika former av autentisering till ett Linux-system.

    Ubuntus mjukvaruarkiv innehåller ett lättanvänt paket för Google Authenticator PAM-modulen. Om din Linux-distribution inte innehåller något paket för detta måste du hämta det från Google Authenticator-hämtningssidan på Google Code och kompilera det själv.

    För att installera paketet på Ubuntu, kör följande kommando:

    sudo apt-get installera libpam-google-autentiserare

    (Det här installerar endast PAM-modulen på vårt system - vi måste aktivera det för SSH-inloggningar manuellt.)

    Skapa en autentiseringsnyckel

    Logga in som användaren kommer du logga in med fjärrkontroll och köra google-bestyr kommandot för att skapa en hemlig nyckel för den användaren.

    Låt kommandot uppdatera din Google Authenticator-fil genom att skriva y. Du får då flera frågor som gör att du kan begränsa användningen av samma temporära säkerhetstoken, öka tidsfönstret som symboler kan användas till och begränsa tillåtna tillträde försök att hindra brutalkraftsprickning. Dessa val handlar alla om en viss säkerhet för lite användarvänlighet.

    Google Authenticator presenterar dig med en hemlig nyckel och flera "nödskraparkoder". Skriv ner nödskraplodderna någonstans säkert - de kan bara användas en gång var och de är avsedda att användas om du tappar telefonen.

    Ange den hemliga nyckeln i Google Authenticator-appen på din telefon (officiella appar är tillgängliga för Android, iOS och Blackberry). Du kan också använda skannings streckkodsfunktionen - gå till webbadressen som ligger nära toppen av kommandoens utgång och du kan skanna en QR-kod med kamerans kamera.

    Du kommer nu att ha en ständigt föränderlig verifieringskod på din telefon.

    Om du vill logga in på distans som flera användare, kör det här kommandot för varje användare. Varje användare kommer att ha sin egen hemliga nyckel och sina egna koder.

    Aktivera Google Authenticator

    Därefter måste du kräva Google Authenticator för SSH-inloggningar. För att göra det, öppna /etc/pam.d/sshd fil på ditt system (till exempel med sudo nano /etc/pam.d/sshd kommando) och lägg till följande rad i filen:

    auth krävs pam_google_authenticator.so

    Öppna sedan / Etc / ssh / sshd_config fil, leta reda på ChallengeResponseAuthentication linje och ändra den för att läsa enligt följande:

    ChallengeResponseAuthentication yes

    (Om ChallengeResponseAuthentication rad finns inte redan, lägg till ovanstående rad i filen.)

    Slutligen starta om SSH-servern så att ändringarna träder i kraft:

    sudo service ssh omstart

    Du kommer att bli uppmanad till både ditt lösenord och Google Authenticator-koden när du försöker logga in via SSH.