Slik sikrer du SSH med Google Authenticators tofaktorautentisering
Ønsker du å sikre din SSH-server med brukervennlig tofaktorautentisering? Google gir den nødvendige programvaren for å integrere Google Authenticators tidsbaserte engangspassord (TOTP) -system med SSH-serveren. Du må skrive inn koden fra telefonen når du kobler til.
Google Authenticator "ikke hjem" til Google - alt arbeidet skjer på SSH-serveren og telefonen. Faktisk er Google Authenticator helt åpen kildekode, så du kan selv undersøke kildekoden selv.
Installer Google Authenticator
For å implementere multifaktorautentisering med Google Authenticator trenger vi PAM-modulen for åpen kildekode-Google Authenticator. PAM står for "pluggable authentication module" - det er en måte å enkelt plugge forskjellige former for godkjenning til et Linux-system.
Ubuntus programvarelagre inneholder en lett å installere pakke for Google Authenticator PAM-modulen. Hvis Linux-distribusjonen din ikke inneholder en pakke for dette, må du laste den ned fra Google Autentiserings nedlastingssiden på Google Code og kompilere den selv.
For å installere pakken på Ubuntu, kjør følgende kommando:
sudo apt-get installer libpam-google-autentiserer
(Dette vil bare installere PAM-modulen på systemet vårt - vi må aktivere det for SSH logins manuelt.)
Opprett en godkjenningsnøkkel
Logg inn som brukeren du vil logge inn med eksternt og kjøre google-autentifikatoren kommandoen for å opprette en hemmelig nøkkel for den brukeren.
Tillat kommandoen å oppdatere Google Authenticator-filen ved å skrive y. Deretter blir du bedt om flere spørsmål som vil tillate deg å begrense bruken av det samme midlertidige sikkerhetstokenet, øke tidsvinduet som tokens kan brukes til, og begrense tillatt tilgang forsøk på å hindre brute force cracking forsøk. Disse valgene handler all sikkerhet for noen brukervennlige.
Google Authenticator vil presentere deg med en hemmelig nøkkel og flere "nødskrapelodder". Skriv ned nødskrapelodene et sted trygt - de kan bare brukes en gang hver og de er ment for bruk hvis du mister telefonen.
Skriv inn den hemmelige nøkkelen i Google Authenticator-appen på telefonen din (offisielle apper er tilgjengelige for Android, iOS og Blackberry). Du kan også bruke skannekoblingsfunksjonen - gå til nettadressen som ligger nær toppen av kommandoen, og du kan skanne en QR-kode med telefonens kamera.
Du har nå en endringskode for bekreftelse på telefonen din.
Hvis du vil logge på eksternt som flere brukere, kjør denne kommandoen for hver bruker. Hver bruker vil ha sin egen hemmelige nøkkel og egne koder.
Aktiver Google Autentisering
Deretter må du kreve Google Authenticator for SSH-pålogginger. For å gjøre det, åpne /etc/pam.d/sshd fil på systemet ditt (for eksempel med sudo nano /etc/pam.d/sshd kommando) og legg til følgende linje i filen:
auth kreves pam_google_authenticator.so
Deretter åpner du / Etc / ssh / sshd_config fil, finn ChallengeResponseAuthentication linje, og endre den for å lese som følger:
UtfordringsResponseAutvurdering ja
(Hvis ChallengeResponseAuthentication Linjen finnes ikke allerede, legg til linjen over til filen.)
Endelig start SSH-serveren på nytt slik at endringene dine får virkning:
sudo service ssh restart
Du blir bedt om både ditt passord og Google Authenticator-koden når du prøver å logge på via SSH.