Ako zabezpečiť SSH pomocou overenia totožnosti s dvoma faktormi Google Authenticator

Obsah:

Ako zabezpečiť SSH pomocou overenia totožnosti s dvoma faktormi Google Authenticator
Ako zabezpečiť SSH pomocou overenia totožnosti s dvoma faktormi Google Authenticator

Video: Ako zabezpečiť SSH pomocou overenia totožnosti s dvoma faktormi Google Authenticator

Video: Ako zabezpečiť SSH pomocou overenia totožnosti s dvoma faktormi Google Authenticator
Video: Comparing Windows 11 vs Windows Server 2022 - YouTube 2024, Apríl
Anonim
Chcete zabezpečiť váš SSH server pomocou dvojfaktorovej autentifikácie, ktorá je ľahko použiteľná? Spoločnosť Google poskytuje potrebný softvér na integráciu systému jednorazového hesla (TOTP) systému Google Authenticator so serverom SSH. Po pripojení budete musieť z vášho telefónu zadať kód.
Chcete zabezpečiť váš SSH server pomocou dvojfaktorovej autentifikácie, ktorá je ľahko použiteľná? Spoločnosť Google poskytuje potrebný softvér na integráciu systému jednorazového hesla (TOTP) systému Google Authenticator so serverom SSH. Po pripojení budete musieť z vášho telefónu zadať kód.

Aplikácia Google Authenticator neposkytuje službu Google doma - všetka práca sa deje na vašom SSH serveri a telefóne. V skutočnosti je aplikácia Google Authenticator úplne open-source, takže si dokonca môžete prezrieť zdrojový kód sami.

Nainštalujte službu Google Authenticator

Ak chcete implementovať overovanie s viacerými faktormi pomocou aplikácie Google Authenticator, budeme potrebovať modul open-source Google Authenticator PAM. PAM znamená "pluggable autentifikačný modul" - je to spôsob, ako ľahko pripojiť rôzne formy autentifikácie do systému Linux.

Softvérové úložiská Ubuntu obsahujú jednoducho inštalovateľný balík pre modul PAM Google Authenticator. Ak vaša distribúcia Linuxu neobsahuje balík, musíte si ju prevziať zo stránky Google Authenticator na prevzatie v službe Google Code a zostaviť ju sami.

Ak chcete balík nainštalovať na Ubuntu, spustite nasledujúci príkaz:

sudo apt-get install libpam-google-authenticator

(Tým sa nainštaluje modul PAM iba v našom systéme - budeme ho musieť aktivovať pri prihlasovaní SSH manuálne.)

Image
Image

Vytvorte overovací kľúč

Prihláste sa ako používateľ, ktorý sa prihlasujete na diaľku a spustite ho google-authenticator Príkaz vytvoriť tajný kľúč pre daného používateľa.

Povolenie príkazu aktualizovať súbor aplikácie Google Authenticator zadaním y. Potom budete vyzvaní na niekoľko otázok, ktoré vám umožnia obmedziť používanie rovnakého dočasného bezpečnostného tokenu, zvýšiť časové okno, na ktoré sa môžu používať žetóny, a obmedziť povolené pokusy o prístup, ktoré bránia pokusom o prasknutie hrubou silou. Tieto voľby všetky obchodujú s určitou bezpečnosťou, pretože sú ľahko použiteľné.

Aplikácia Google Authenticator vám ukáže tajný kľúč a niekoľko "núdzových kódov." Zápisy núdzových kódov na núdzové situácie niekde bezpečne - môžu sa použiť iba raz a sú určené na použitie, ak stratíte telefón.
Aplikácia Google Authenticator vám ukáže tajný kľúč a niekoľko "núdzových kódov." Zápisy núdzových kódov na núdzové situácie niekde bezpečne - môžu sa použiť iba raz a sú určené na použitie, ak stratíte telefón.
Zadajte tajný kľúč v aplikácii Google Authenticator na telefóne (oficiálne aplikácie sú k dispozícii pre Android, iOS a Blackberry). Môžete tiež použiť funkciu skenovania čiarového kódu - prejdite na adresu URL umiestnenú v hornej časti výstupu príkazu a môžete skenovať kód QR pomocou fotoaparátu telefónu.
Zadajte tajný kľúč v aplikácii Google Authenticator na telefóne (oficiálne aplikácie sú k dispozícii pre Android, iOS a Blackberry). Môžete tiež použiť funkciu skenovania čiarového kódu - prejdite na adresu URL umiestnenú v hornej časti výstupu príkazu a môžete skenovať kód QR pomocou fotoaparátu telefónu.
Teraz budete mať v telefóne neustále sa meniaci verifikačný kód.
Teraz budete mať v telefóne neustále sa meniaci verifikačný kód.
Ak sa chcete prihlásiť na diaľku ako viacerí používatelia, spustite tento príkaz pre každého používateľa. Každý používateľ bude mať svoj vlastný tajný kľúč a svoje vlastné kódy.
Ak sa chcete prihlásiť na diaľku ako viacerí používatelia, spustite tento príkaz pre každého používateľa. Každý používateľ bude mať svoj vlastný tajný kľúč a svoje vlastné kódy.

Aktivujte službu Google Authenticator

Ďalej budete musieť vyžadovať službu Google Authenticator na prihlásenie do služby SSH. Ak to chcete urobiť, otvorte /etc/pam.d/sshd súbor na vašom systéme (napr sudo nano /etc/pam.d/sshd príkaz) a do súboru pridajte nasledujúci riadok:

auth required pam_google_authenticator.so

Ďalej otvorte súbor / Etc / ssh / sshd_config súbor, nájdite súbor challenge-response line a zmeňte ho takto:

ChallengeResponseAuthentication yes

(Ak challenge-response riadok ešte neexistuje, pridajte do súboru vyššie uvedený riadok.)

Nakoniec reštartujte server SSH, aby sa vaše zmeny prejavili:

sudo service ssh restart

Odporúča:

Ako používať autentifikáciu s dvoma faktormi pre Windows Live na vašich zariadeniach

Ako používať autentifikáciu s dvoma faktormi pre Windows Live na vašich zariadeniach

Nedávno sme vám ukázali, ako povoliť dvojfaktorové overovanie na vašom účte Windows Live. Ale to by mohlo spôsobiť zlomenie niekoľkých aplikácií, ktoré ho zatiaľ nepodporujú - príde na myší e-mailový klient môjho telefónu. Tu je návod, ako ich opraviť.

Prečo by ste nemali používať SMS na overovanie s dvoma faktormi (a čo používať namiesto toho)

Prečo by ste nemali používať SMS na overovanie s dvoma faktormi (a čo používať namiesto toho)

Odborníci v oblasti bezpečnosti odporúčajú použiť dvojfaktorovú autentifikáciu na zabezpečenie vašich online účtov všade tam, kde je to možné. Mnohé služby predvolene overujú SMS, odosielajú kódy prostredníctvom textovej správy do telefónu, keď sa pokúšate prihlásiť. Ale SMS správy majú veľa bezpečnostných problémov a sú najmenej zabezpečenou možnosťou dvojfaktorovej autentifikácie.

Rôzne formy overovania s dvoma faktormi: SMS, aplikácie Autotexator a ďalšie

Rôzne formy overovania s dvoma faktormi: SMS, aplikácie Autotexator a ďalšie

Mnoho online služieb ponúka dvojfaktorovú autentifikáciu, ktorá zvyšuje bezpečnosť tým, že vyžaduje viac ako len heslo na prihlásenie. Existuje mnoho rôznych typov ďalších metód autentifikácie, ktoré môžete použiť.

Čo robiť, ak stratíte telefón s dvoma faktormi

Čo robiť, ak stratíte telefón s dvoma faktormi

Mnoho webových stránok odosiela bezpečnostné kódy na vaše telefónne číslo a potvrdí vašu totožnosť pri prihlasovaní. Môžete tiež použiť aplikácie, ktoré generujú bezpečnostné kódy v telefóne. Ale čo sa stane, ak stratíte telefón?

Ako používať aplikáciu Google Authenticator a ďalšie aplikácie s dvoma faktormi overenia bez telefónu

Ako používať aplikáciu Google Authenticator a ďalšie aplikácie s dvoma faktormi overenia bez telefónu

Google, Dropbox, LastPass, Battle.net, Guild Wars 2 - všetky tieto služby a ďalšie ponúkajú dvojfaktorové autentifikačné aplikácie, ktoré pracujú na smartphonoch. Ak nemáte podporované zariadenie, v počítači môžete spustiť alternatívnu aplikáciu.