SSH: n suojaaminen Google Authenticatorin kaksitekijäistunnistuksella

Sisällysluettelo:

SSH: n suojaaminen Google Authenticatorin kaksitekijäistunnistuksella
SSH: n suojaaminen Google Authenticatorin kaksitekijäistunnistuksella

Video: SSH: n suojaaminen Google Authenticatorin kaksitekijäistunnistuksella

Video: SSH: n suojaaminen Google Authenticatorin kaksitekijäistunnistuksella
Video: How to Uninstall Programs on Mac | Permanently Delete Application on Mac - YouTube 2024, Maaliskuu
Anonim
Haluatko suojata SSH-palvelimen helppokäyttöisellä kaksitasoisella todennuksella? Google tarjoaa tarvittavat ohjelmistot Google Authenticatorin aikapohjaisen salasanan (TOTP) järjestelmän integroimiseksi SSH-palvelimeen. Sinun on syötettävä koodi puhelimesta, kun muodostat yhteyden.
Haluatko suojata SSH-palvelimen helppokäyttöisellä kaksitasoisella todennuksella? Google tarjoaa tarvittavat ohjelmistot Google Authenticatorin aikapohjaisen salasanan (TOTP) järjestelmän integroimiseksi SSH-palvelimeen. Sinun on syötettävä koodi puhelimesta, kun muodostat yhteyden.

Google Authenticator ei "puhelin kotiin" Googlelle - kaikki työ tapahtuu SSH-palvelimellasi ja puhelimellasi. Itse asiassa Google Authenticator on täysin avoin lähdekoodi, joten voit jopa tarkastella lähdekoodia itse.

Asenna Google Authenticator

Monimuotoisen todentamisen käyttöönotosta Google Authenticatorilla tarvitaan avoimen lähdekoodin Google Authenticator PAM -moduuli. PAM tarkoittaa "pluggable authentication module" - se on helppo tapa kytkeä erilaiset tunnistusmuodot Linux-järjestelmään.

Ubuntun ohjelmistovarastot sisältävät helppokäyttöisen paketin Google Authenticator PAM -moduuliin. Jos Linux-jakelu ei sisällä tätä pakettia, sinun on ladattava Google-koodin Google Authenticator lataussivulta ja koota se itse.

Asenna paketti Ubuntuun, suorita seuraava komento:

sudo apt-get install libpam-google-authenticator

(Tämä asentaa vain PAM-moduulin järjestelmään - meidän on aktivoitava se SSH-kirjautumiseen manuaalisesti.)

Image
Image

Luo todennusavain

Kirjaudu sisään käyttäjänä, johon kirjaudut sisään etänä ja suorita google-authenticator komento luoda salainen avain kyseiselle käyttäjälle.

Salli komennon päivittää Google Authenticator -tiedosto kirjoittamalla y. Sinulta kysytään useita kysymyksiä, joiden avulla voit rajoittaa saman väliaikaisen tietoturvakoodin käyttötarkoituksia, lisätä aikataulua, jota voidaan käyttää, ja rajoittaa sallittujen yhteyksien yritetään estää hyökkääviä halkeamia. Nämä valinnat kaikki tarjoavat jonkin verran turvallisuutta joidenkin helppokäyttöisyyden vuoksi.

Google Authenticator antaa sinulle salaisen avaimen ja useita "hätätilan naarmuuntumiskoodeja". Kirjoita hätämerkkikoodit jonnekin turvalliseen - niitä voi käyttää vain kerran, ja ne on tarkoitettu käytettäväksi, jos menetät puhelimesi.
Google Authenticator antaa sinulle salaisen avaimen ja useita "hätätilan naarmuuntumiskoodeja". Kirjoita hätämerkkikoodit jonnekin turvalliseen - niitä voi käyttää vain kerran, ja ne on tarkoitettu käytettäväksi, jos menetät puhelimesi.
Anna salainen avain puhelimesi Google Authenticator -sovelluksessa (viralliset sovellukset ovat saatavilla Android-, iOS- ja Blackberry-laitteille). Voit käyttää myös skannauksen viivakoodi -ominaisuutta - siirry URL-osoitteeseen, joka sijaitsee komennon yläosan yläosassa ja voit skannata QR-koodin puhelimen kameraan.
Anna salainen avain puhelimesi Google Authenticator -sovelluksessa (viralliset sovellukset ovat saatavilla Android-, iOS- ja Blackberry-laitteille). Voit käyttää myös skannauksen viivakoodi -ominaisuutta - siirry URL-osoitteeseen, joka sijaitsee komennon yläosan yläosassa ja voit skannata QR-koodin puhelimen kameraan.
Sinulla on nyt jatkuvasti muuttuva vahvistuskoodi puhelimeesi.
Sinulla on nyt jatkuvasti muuttuva vahvistuskoodi puhelimeesi.
Jos haluat kirjautua etäyhteyteen useina käyttäjinä, suorita tämä komento jokaiselle käyttäjälle. Jokaisella käyttäjällä on oma salainen avain ja omat koodinsa.
Jos haluat kirjautua etäyhteyteen useina käyttäjinä, suorita tämä komento jokaiselle käyttäjälle. Jokaisella käyttäjällä on oma salainen avain ja omat koodinsa.

Aktivoi Google Authenticator

Seuraavaksi sinun tulee vaatia Google Authenticator -ohjelmaa SSH-kirjautumisille. Voit tehdä tämän avaamalla /etc/pam.d/sshd tiedosto (esim sudo nano /etc/pam.d/sshd komento) ja lisää seuraava rivi tiedostoon:

auth required pam_google_authenticator.so

Avaa sitten / Etc / ssh / sshd_config etsi tiedosto ChallengeResponseAuthentication riville ja muuta se lukemaan seuraavasti:

ChallengeResponseAuthentication yes

(Jos ChallengeResponseAuthentication rivi ei ole vielä olemassa, lisää yllä oleva viiva tiedostoon.)

Lopuksi käynnistä SSH-palvelin uudelleen niin, että muutokset tulevat voimaan:

sudo service ssh restart

Suositeltava: