Bagaimana untuk Mengamankan SSH dengan Pengesahan Dua Faktor Pengesah Google
Mahu menjamin pelayan SSH anda dengan pengesahan dua faktor yang mudah digunakan? Google menyediakan perisian yang diperlukan untuk mengintegrasikan sistem kata laluan satu kali (TOTP) berasaskan waktu Pengesah Pengesahan Google dengan pelayan SSH anda. Anda perlu memasukkan kod dari telefon anda apabila anda menyambungkannya.
Google Authenticator tidak "telefon ke rumah" kepada Google - semua kerja berlaku pada pelayan SSH dan telefon anda. Malah, Pengesah Google sepenuhnya sumber terbuka, jadi anda juga boleh memeriksa kod sumbernya sendiri.
Pasang Google Authenticator
Untuk melaksanakan pengesahan multifaktor dengan Pengesah Google, kami memerlukan modul PAM Pengesah Google Sumber terbuka. PAM bermaksud "modul pengesahan pluggable" - ia adalah satu cara untuk dengan mudah menampal bentuk pengesahan yang berlainan ke dalam sistem Linux.
Repositori perisian Ubuntu mengandungi pakej mudah untuk memasang modul Google Authenticator PAM. Sekiranya pengedaran Linux anda tidak mengandungi pakej untuk ini, anda perlu memuat turunnya dari halaman pengesahan Google Authenticator di Kod Google dan menyusunnya sendiri.
Untuk memasang pakej di Ubuntu, jalankan arahan berikut:
sudo apt-get memasang libpam-google-authenticator
(Ini hanya akan memasang modul PAM pada sistem kami - kami perlu mengaktifkannya untuk log masuk SSH secara manual.)
Buat Kunci Pengesahan
Log masuk sebagai pengguna yang anda akan log masuk dengan jarak jauh dan jalankan pengesah google arahan untuk membuat kunci rahsia untuk pengguna tersebut.
Benarkan arahan untuk mengemas kini fail Pengesah Google anda dengan menaip y. Anda kemudiannya akan diminta dengan beberapa soalan yang akan membolehkan anda untuk mengehadkan kegunaan token keselamatan sementara yang sama, meningkatkan tetingkap masa yang token dapat digunakan untuk, dan hadkan cubaan acc yang dibenarkan untuk menghalang usaha cracking force brute. Pilihan ini semua memperdagangkan beberapa keselamatan untuk kegunaan mudah.
Pengesah Google akan membentangkan anda dengan kunci rahsia dan beberapa "kod kecemasan kecemasan." Tulis kod kecemasan kecemasan di suatu tempat yang selamat - ia hanya boleh digunakan setiap kali, dan ia bertujuan untuk digunakan jika anda kehilangan telefon anda.
Masukkan kunci rahsia dalam apl Google Authenticator pada telefon anda (aplikasi rasmi tersedia untuk Android, iOS, dan Blackberry). Anda juga boleh menggunakan ciri kod bar imbasan - pergi ke URL yang terletak berhampiran bahagian atas output arahan dan anda boleh mengimbas kod QR dengan kamera telefon anda.
Anda sekarang akan mempunyai kod pengesahan yang sentiasa berubah pada telefon anda.
Jika anda mahu log masuk jauh dari pelbagai pengguna, jalankan arahan ini untuk setiap pengguna. Setiap pengguna akan mempunyai kunci rahsia dan kod mereka sendiri.
Aktifkan Pengesah Google
Seterusnya, anda perlu meminta Google Authenticator untuk log masuk SSH. Untuk berbuat demikian, buka /etc/pam.d/sshd fail pada sistem anda (contohnya, dengan sudo nano /etc/pam.d/sshd arahan) dan tambahkan baris berikut ke fail:
auth diperlukan pam_google_authenticator.so
Seterusnya, buka / etc / ssh / sshd_config fail, cari ChallengeResponseAuthentication baris, dan ubahnya untuk dibaca seperti berikut:
ChallengeResponseAuthentication yes
(Jika ChallengeResponseAuthentication baris belum ada, tambah baris di atas pada fail.)
Akhir sekali, mulakan semula pelayan SSH supaya perubahan anda akan berkuat kuasa:
sudo perkhidmatan sart semula
Anda akan diminta untuk kata laluan dan kod Pengesah Google anda setiap kali anda cuba log masuk melalui SSH.
