Θέλετε να ασφαλίσετε τον διακομιστή SSH με εύχρηστο έλεγχο ταυτότητας δύο παραγόντων; Η Google παρέχει το απαραίτητο λογισμικό για την ενσωμάτωση του συστήματος μοναδικού κωδικού πρόσβασης (TOTP) βάσει του Google Authenticator στον διακομιστή SSH σας. Θα πρέπει να εισαγάγετε τον κωδικό από το τηλέφωνό σας κατά τη σύνδεσή σας.
Ο Επαληθευτής Google δεν "τηλεφωνεί στο σπίτι" στην Google - όλη η εργασία γίνεται στον διακομιστή SSH και στο τηλέφωνό σας. Στην πραγματικότητα, ο Επαληθευτής Google είναι εντελώς ανοιχτού κώδικα , ώστε να μπορείτε να εξετάσετε ακόμη και τον πηγαίο κώδικα μόνοι σας.
Εγκαταστήστε τον Επαληθευτή Google
Για να εφαρμόσουμε τον έλεγχο ταυτότητας πολλών παραγόντων με τον Επαληθευτή Google, θα χρειαζόμαστε τη λειτουργική μονάδα PAM ανοιχτού κώδικα Google Authenticator. Το PAM σημαίνει "pluggable module ελέγχου ταυτότητας" - είναι ένας τρόπος να συνδέσετε εύκολα διάφορες μορφές ελέγχου ταυτότητας σε ένα σύστημα Linux.
Τα αποθετήρια λογισμικού του Ubuntu περιέχουν ένα εύκολο στην εγκατάσταση πακέτο για τη μονάδα PAM του Google Authenticator. Εάν η διανομή Linux δεν περιέχει πακέτο για αυτό, θα πρέπει να το κατεβάσετε από το Σελίδα λήψεων του Google Authenticator στο Google Code και συντάξτε τον μόνοι σας.
Για να εγκαταστήσετε το πακέτο στο Ubuntu, εκτελέστε την ακόλουθη εντολή:
sudo apt-get εγκαταστήστε libpam-google-authorator
(Αυτό θα εγκαταστήσει τη λειτουργική μονάδα PAM μόνο στο σύστημά μας - θα πρέπει να την ενεργοποιήσουμε για συνδέσεις SSH με μη αυτόματο τρόπο.)
Δημιουργήστε ένα κλειδί ελέγχου ταυτότητας
Συνδεθείτε ως χρήστης με τον οποίο θα συνδεθείτε από απόσταση και εκτελέστε το google-authorator εντολή για τη δημιουργία μυστικού κλειδιού για αυτόν τον χρήστη.
Επιτρέψτε στην εντολή να ενημερώσει το αρχείο Google Authenticator πληκτρολογώντας y. Στη συνέχεια, θα σας ζητηθούν πολλές ερωτήσεις που θα σας επιτρέψουν να περιορίσετε τις χρήσεις του ίδιου προσωρινού διακριτικού ασφαλείας, να αυξήσετε το χρονικό παράθυρο για το οποίο μπορούν να χρησιμοποιηθούν τα διακριτικά και να περιορίσετε τις επιτρεπόμενες προσπάθειες πρόσβασης για να εμποδίσετε τις απόπειρες σπασίματος βίας. Όλες αυτές οι επιλογές ανταλλάσσουν κάποια ασφάλεια για ευκολία στη χρήση.
Ο Επαληθευτής Google θα σας παρουσιάσει ένα μυστικό κλειδί και αρκετούς "κωδικούς ξυστό έκτακτης ανάγκης". Γράψτε τους κωδικούς ξυστό έκτακτης ανάγκης κάπου ασφαλείς - μπορούν να χρησιμοποιηθούν μόνο μία φορά ο καθένας και προορίζονται για χρήση εάν χάσετε το τηλέφωνό σας.
Εισαγάγετε το μυστικό κλειδί στην εφαρμογή Επαληθευτής Google στο τηλέφωνό σας (διατίθενται επίσημες εφαρμογές Android, iOS και Blackberry ). Μπορείτε επίσης να χρησιμοποιήσετε τη δυνατότητα σάρωσης γραμμωτού κώδικα - μεταβείτε στη διεύθυνση URL που βρίσκεται κοντά στην κορυφή της εξόδου της εντολής και μπορείτε να σαρώσετε έναν κωδικό QR με την κάμερα του τηλεφώνου σας.
Τώρα θα έχετε έναν συνεχώς μεταβαλλόμενο κωδικό επαλήθευσης στο τηλέφωνό σας.
Εάν θέλετε να συνδεθείτε εξ αποστάσεως ως πολλοί χρήστες, εκτελέστε αυτήν την εντολή για κάθε χρήστη. Κάθε χρήστης θα έχει το δικό του μυστικό κλειδί και τους δικούς του κωδικούς.
Ενεργοποιήστε τον Επαληθευτή Google
Στη συνέχεια, θα πρέπει να απαιτήσετε τον Επαληθευτή Google για συνδέσεις SSH. Για να το κάνετε αυτό, ανοίξτε το /etc/pam.d/sshd αρχείο στο σύστημά σας (για παράδειγμα, με το Sudonano / κ.λπ. / Παμ. η / ημέρα εντολή) και προσθέστε την ακόλουθη γραμμή στο αρχείο:
απαιτείται εξουσιοδότηση pam_google_authenticator.so
Στη συνέχεια, ανοίξτε το / etc / ssh / sshd_config αρχείο, εντοπίστε το ChallengeResponseAuthentication γραμμή και να το αλλάξετε ως εξής:
ChallengeResponseAuthentication ναι
(Εάν το ChallengeResponseAuthentication γραμμή δεν υπάρχει ήδη, προσθέστε την παραπάνω γραμμή στο αρχείο.)
Τέλος, επανεκκινήστε τον διακομιστή SSH, ώστε οι αλλαγές σας να ισχύσουν:
Επανεκκίνηση υπηρεσίας sudo
Θα σας ζητηθεί τόσο ο κωδικός πρόσβασής σας όσο και ο κωδικός επαληθευτή Google κάθε φορά που επιχειρείτε να συνδεθείτε μέσω SSH.
