Sådan sikres SSH med Google Authenticators Two Factor Authentication

Indholdsfortegnelse:

Video: Sådan sikres SSH med Google Authenticators Two Factor Authentication

Video: Sådan sikres SSH med Google Authenticators Two Factor Authentication
Video: OpenSSH for Windows: Install, Configure, Connect, and Troubleshoot 2024, Marts
Sådan sikres SSH med Google Authenticators Two Factor Authentication
Sådan sikres SSH med Google Authenticators Two Factor Authentication
Anonim
Ønsker du at sikre din SSH-server med nem at bruge to-faktor-godkendelse? Google leverer den nødvendige software til at integrere Google Authenticators tidsbaserede engangsadgangskode (TOTP) system med din SSH-server. Du skal indtaste koden fra din telefon, når du tilslutter.
Ønsker du at sikre din SSH-server med nem at bruge to-faktor-godkendelse? Google leverer den nødvendige software til at integrere Google Authenticators tidsbaserede engangsadgangskode (TOTP) system med din SSH-server. Du skal indtaste koden fra din telefon, når du tilslutter.

Google Authenticator "ikke hjem" til Google - alt arbejde sker på din SSH-server og din telefon. Faktisk er Google Authenticator helt åben kilde, så du kan selv undersøge sin kildekode selv.

Installer Google Authenticator

For at implementere multifaktor-godkendelse med Google Authenticator skal vi bruge PAM-modulet Google Authenticator med open source. PAM står for "pluggable authentication module" - det er en måde at nemt tilslutte forskellige former for godkendelse til et Linux-system.

Ubuntu's software repositories indeholder en nem at installere pakke til Google Authenticator PAM modulet. Hvis din Linux-distribution ikke indeholder en pakke til dette, skal du downloade den fra Google Authenticator-overførselssiden på Google Code og kompilere det selv.

For at installere pakken på Ubuntu skal du køre følgende kommando:

sudo apt-get install libpam-google-authenticator

(Dette installerer kun PAM-modulet på vores system - vi skal aktivere det for SSH logins manuelt.)

Image
Image

Opret en godkendelsesnøgle

Log ind som bruger, du logger ind med fjernadgang og kører google-autentifikator kommando for at oprette en hemmelig nøgle til den bruger.

Tillad kommandoen at opdatere din Google Authenticator-fil ved at skrive y. Du bliver derefter bedt om flere spørgsmål, der giver dig mulighed for at begrænse brugen af det samme midlertidige sikkerhedstoken, øge det tidsvindue, som tokens kan bruges til, og begrænse tilladte adgangsforsøg for at forhindre brutal force cracking forsøg. Disse valg alle handler lidt sikkerhed for nogle brugervenlige.

Google Authenticator vil præsentere dig med en hemmelig nøgle og flere "Nødskraberkoder". Skriv nulskrabelkoderne et sted sikkert - de kan kun bruges én gang hver, og de er beregnet til brug, hvis du mister din telefon.
Google Authenticator vil præsentere dig med en hemmelig nøgle og flere "Nødskraberkoder". Skriv nulskrabelkoderne et sted sikkert - de kan kun bruges én gang hver, og de er beregnet til brug, hvis du mister din telefon.
Indtast den hemmelige nøgle i Google Authenticator-appen på din telefon (officielle apps er tilgængelige for Android, iOS og Blackberry). Du kan også bruge scanning stregkode-funktionen - gå til URL'en placeret øverst i kommandoen, og du kan scanne en QR-kode med telefonens kamera.
Indtast den hemmelige nøgle i Google Authenticator-appen på din telefon (officielle apps er tilgængelige for Android, iOS og Blackberry). Du kan også bruge scanning stregkode-funktionen - gå til URL'en placeret øverst i kommandoen, og du kan scanne en QR-kode med telefonens kamera.
Du har nu en konstant skiftende verifikationskode på din telefon.
Du har nu en konstant skiftende verifikationskode på din telefon.
Hvis du vil logge ind eksternt som flere brugere, skal du køre denne kommando for hver bruger. Hver bruger vil have deres egen hemmelige nøgle og deres egne koder.
Hvis du vil logge ind eksternt som flere brugere, skal du køre denne kommando for hver bruger. Hver bruger vil have deres egen hemmelige nøgle og deres egne koder.

Aktivér Google Authenticator

Derefter skal du kræve Google Authenticator til SSH login. For at gøre det skal du åbne /etc/pam.d/sshd fil på dit system (for eksempel med sudo nano /etc/pam.d/sshd kommando) og tilføj følgende linje til filen:

auth required pam_google_authenticator.so

Dernæst åbner du / Etc / ssh / sshd_config fil, find den ChallengeResponseAuthentication linje og ændre det for at læse som følger:

ChallengeResponseAuthentication yes

(Hvis ChallengeResponseAuthentication linje eksisterer ikke allerede, tilføj ovenstående linje til filen.)

Endelig genstart SSH-serveren, så dine ændringer træder i kraft:

sudo service ssh restart

Anbefalede: