كيفية إعداد المصادقة الثنائية (2FA) لـ SSH على Ubuntu 14.04 باستخدام Google Authenticator

• الخطوة 1: المتطلبات الأساسية
• الخطوة 2: تثبيت مكتبة Google Authenticator
• الخطوة 3: تكوين Google Authenticator لكل مستخدم
• الخطوة 4: تكوين SSH لاستخدام Google Authenticator
• ملحوظة
• استنتاج

هناك عدة طرق لتسجيل الدخول إلى خادم عبر SSH. تتضمن الأساليب تسجيل الدخول بكلمة المرور وتسجيل الدخول المستند إلى المفتاح والمصادقة الثنائية.

المصادقة الثنائية هي نوع أفضل من الحماية. في حالة اختراق جهاز الكمبيوتر الخاص بك ، سيظل المهاجم بحاجة إلى رمز وصول لتسجيل الدخول.

في هذا البرنامج التعليمي ، ستتعلم كيفية إعداد المصادقة ذات العاملين على خادم Ubuntu باستخدام Google Authenticator و SSH.

الخطوة 1: المتطلبات الأساسية

• خادم Ubuntu 14.04 (أو أحدث).
• مستخدم غير جذري مع وصول sudo.
• هاتف ذكي (Android أو iOS) مثبت عليه تطبيق Google Authenticator. يمكنك أيضًا استخدام Authy أو أي تطبيق آخر يدعم تسجيلات الدخول إلى TOTP.

الخطوة 2: تثبيت مكتبة Google Authenticator

نحتاج إلى تثبيت وحدة مكتبة Google Authenticator المتاحة لـ Ubuntu والتي ستسمح للخادم بقراءة الرموز والتحقق منها. قم بتشغيل الأوامر التالية.

sudo apt-get update
sudo apt-get install libpam-google-authenticator

الخطوة 3: تكوين Google Authenticator لكل مستخدم

لتكوين الوحدة النمطية ، فقط قم بتشغيل الأمر التالي.

google-authenticator

بمجرد تشغيل الأمر ، سيتم سؤالك بعض الأسئلة. السؤال الأول سيكون:

Do you want authentication tokens to be time-based (y/n)

اضغط yوستحصل على رمز الاستجابة السريعة والمفتاح السري ورمز التحقق والرموز الاحتياطية للطوارئ.

أخرج هاتفك وافتح تطبيق Google Authenticator. يمكنك إما مسح رمز الاستجابة السريعة أو إضافة مفتاح السر لإضافة إدخال جديد. بمجرد القيام بذلك ، قم بتدوين الرموز الاحتياطية واحتفظ بها في مكان ما. في حالة تلف هاتفك أو تلفه ، يمكنك استخدام هذه الرموز لتسجيل الدخول.

بالنسبة للأسئلة المتبقية ، اضغط yعند سؤالك لتحديث .google_authenticatorالملف ، yولعدم السماح باستخدامات متعددة لنفس الرمز ، nولزيادة فترة الوقت ، yولتمكين تحديد المعدل.

سيكون عليك تكرار الخطوة 3 لجميع المستخدمين على جهازك ، وإلا فلن يتمكنوا من تسجيل الدخول بمجرد الانتهاء من هذا البرنامج التعليمي.

الخطوة 4: تكوين SSH لاستخدام Google Authenticator

الآن بعد أن قام جميع المستخدمين على جهازك بإعداد تطبيق Google Authentator ، حان الوقت لتكوين SSH لاستخدام طريقة المصادقة هذه على الطريقة الحالية.

أدخل الأمر التالي لتحرير sshdالملف.

sudo nano /etc/pam.d/sshd

ابحث عن الخط @include common-authوعلق عليه كما يلي.

# Standard Un*x authentication.
#@include common-auth

أضف السطر التالي إلى أسفل هذا الملف.

auth required pam_google_authenticator.so

اضغط Ctrl + Xللحفظ والخروج.

بعد ذلك ، أدخل الأمر التالي لتحرير sshd_configالملف.

sudo nano /etc/ssh/sshd_config

أوجد الحد ChallengeResponseAuthenticationوتعيين قيمته على yes. ابحث أيضًا عن المصطلح PasswordAuthentication، وقم بإلغاء تعليقه ، وقم بتغيير قيمته إلى no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

الخطوة التالية هي إضافة السطر التالي إلى أسفل الملف.

AuthenticationMethods publickey,keyboard-interactive

احفظ وأغلق الملف بالضغط Ctrl + X. الآن بعد أن قمنا بتكوين خادم SSH لاستخدام Google Authenticator ، فقد حان وقت إعادة تشغيله.

sudo service ssh restart

حاول تسجيل الدخول مرة أخرى إلى الخادم. ستتم مطالبتك هذه المرة برمز Authenticator.

ssh user@serverip

Authenticated with partial success.
Verification code:

أدخل الرمز الذي يولده تطبيقك وسيتم تسجيل دخولك بنجاح.

ملحوظة

في حالة فقدان هاتفك ، استخدم الرموز الاحتياطية من الخطوة 2. إذا فقدت رموزك الاحتياطية ، يمكنك دائمًا العثور عليها في .google_authenticatorالملف ضمن دليل الصفحة الرئيسية للمستخدم بعد تسجيل الدخول عبر وحدة تحكم Vultr.

استنتاج

يعمل الحصول على مصادقة متعددة العوامل على تحسين أمان الخادم إلى حد كبير ويسمح لك بالمساعدة في إحباط هجمات القوة الغاشمة الشائعة.

إصدارات أخرى

• أوبونتو
• CentOS