Haluatko suojata SSH-palvelimesi helppokäyttöisellä kaksivaiheisella todennuksella? Google tarjoaa tarvittavan ohjelmiston integroimaan Google Authenticatorin TOTP-järjestelmä SSH-palvelimeesi. Sinun on annettava koodi puhelimestasi, kun muodostat yhteyden.
Google Authenticator ei "soita kotiin" Googlelle - kaikki työ tapahtuu SSH-palvelimellasi ja puhelimellasi. Itse asiassa Google Authenticator on täysin avoimen lähdekoodin , joten voit jopa tutkia sen lähdekoodin itse.
Asenna Google Authenticator
Tarvitsemme usean tekijän todennuksen Google Authenticatorilla tarvitsemme avoimen lähdekoodin Google Authenticator PAM -moduulin. PAM tarkoittaa "pluggable authentication module" - se on tapa liittää helposti erilaiset todennustavat Linux-järjestelmään.
Ubuntun ohjelmistovarastot sisältävät helposti asennettavan paketin Google Authenticator PAM -moduulille. Jos Linux-jakelusi ei sisällä pakettia tätä varten, sinun on ladattava se Google Authenticator -lataussivu Google Code -sovelluksessa ja koota se itse.
Asenna paketti Ubuntuun suorittamalla seuraava komento:
sudo apt-get install libpam-google-authentator
(Tämä asentaa PAM-moduulin vain järjestelmäämme - meidän on aktivoitava se SSH-kirjautumista varten manuaalisesti.)
Luo todennusavain
Kirjaudu sisään käyttäjänä, jolla kirjaudut sisään etänä, ja suorita google-authenticator komento luoda salainen avain tälle käyttäjälle.
Anna komennon päivittää Google Authenticator -tiedostosi kirjoittamalla y. Sinulle kysytään sitten useita kysymyksiä, joiden avulla voit rajoittaa saman väliaikaisen suojaustunnuksen käyttöä, lisätä aikaikkunaa, johon tunnuksia voidaan käyttää, ja rajoittaa sallittuja pääsyyrityksiä estää jyrkän voiman halkeilua. Nämä valinnat kaikki kauppaa jonkin verran turvallisuutta joidenkin helppokäyttöisyyttä.
Google Authenticator antaa sinulle salaisen avaimen ja useita "hätäkoodikoodeja". Kirjoita muistiin hätäkoodit turvalliseen paikkaan - niitä voidaan käyttää vain kerran, ja ne on tarkoitettu käytettäväksi, jos kadotat puhelimesi.
Kirjoita salainen avain puhelimesi Google Authenticator -sovellukseen (viralliset sovellukset ovat käytettävissä verkkotunnukselle Android, iOS ja Blackberry ). Voit myös käyttää viivakoodin skannaustoimintoa - siirry URL-osoitteeseen, joka sijaitsee lähellä komennon yläosaa, ja voit skannata QR-koodin puhelimesi kameralla.
Puhelimessasi on nyt jatkuvasti muuttuva vahvistuskoodi.
Jos haluat kirjautua sisään etänä useina käyttäjinä, suorita tämä komento jokaiselle käyttäjälle. Jokaisella käyttäjällä on oma salainen avain ja omat koodinsa.
Aktivoi Google Authenticator
Seuraavaksi sinun on vaadittava Google Authenticator SSH-kirjautumista varten. Voit tehdä sen avaamalla /etc/pam.d/sshd tiedosto järjestelmässäsi (esimerkiksi Sudonano / Jne / Pam. d / shd komento) ja lisää seuraava rivi tiedostoon:
Autentti vaaditaan pam_google_authenticator.so
Avaa seuraavaksi / etc / ssh / sshd_config Etsi tiedosto ChallengeResponseAuthentication ja vaihda se lukemaan seuraavasti:
ChallengeResponseAuthentication kyllä
(Jos ChallengeResponseAuthentication riviä ei ole jo olemassa, lisää yllä oleva rivi tiedostoon.)
Käynnistä lopuksi SSH-palvelin uudelleen, jotta muutokset tulevat voimaan:
sudo service ssh käynnistyy uudelleen
Sinua pyydetään sekä salasanasi että Google Authenticator -koodisi, kun yrität kirjautua sisään SSH: n kautta.
