Google認証システムを使用してUbuntu 14.04でSSHの2要素認証(2FA)を設定する方法

SSHを介してサーバーにログインする方法はいくつかあります。メソッドには、パスワードログイン、キーベースのログイン、および2要素認証が含まれます。

2要素認証は、はるかに優れたタイプの保護です。コンピュータが侵害された場合でも、攻撃者はログインするためのアクセスコードを必要とします。

このチュートリアルでは、Google AuthenticatorとSSHを使用してUbuntuサーバーで2要素認証を設定する方法を学びます。

ステップ1:前提条件

  • Ubuntu 14.04サーバー(またはそれ以降)。
  • sudoアクセスを持つ非rootユーザー。
  • Google認証システムアプリがインストールされたスマートフォン(AndroidまたはiOS)。AuthyまたはTOTPベースのログインをサポートするその他のアプリを使用することもできます。

ステップ2:Google認証システムライブラリのインストール

サーバーがコードを読み取って検証できるようにするために、Ubuntuで利用可能なGoogle認証システムライブラリモジュールをインストールする必要があります。次のコマンドを実行します。

sudo apt-get update
sudo apt-get install libpam-google-authenticator

ステップ3:ユーザーごとにGoogle認証システムを構成する

モジュールを構成するには、次のコマンドを実行します。

google-authenticator

コマンドを実行すると、特定の質問が表示されます。最初の質問は:

Do you want authentication tokens to be time-based (y/n)

を押すyと、QRコード、秘密鍵、検証コード、緊急バックアップコードを取得します。

スマートフォンを取り出して、Google認証システムアプリを開きます。QRコードをスキャンするか、秘密鍵を追加して新しいエントリを追加できます。それが完了したら、バックアップコードを書き留めて、どこかに安全に保管してください。スマートフォンの置き忘れや破損が発生した場合は、これらのコードを使用してログインできます。

残りの質問についてはy.google_authenticatorファイルの更新、y同じトークンの複数使用の禁止、n時間ウィンドウの拡大、yレート制限の有効化を求められたら、を押してください。

マシン上のすべてのユーザーに対してステップ3を繰り返す必要があります。そうしないと、このチュートリアルを完了すると、ユーザーはログインできなくなります。

ステップ4:Google認証システムを使用するようにSSHを構成する

マシン上のすべてのユーザーがGoogleオーセンティケーターアプリを設定したので、SSHを設定して、現在の認証方法よりもこの認証方法を使用するようにします。

次のコマンドを入力してsshdファイルを編集します。

sudo nano /etc/pam.d/sshd

@include common-authを見つけて、以下のようにコメント化します。

# Standard Un*x authentication.
#@include common-auth

このファイルの最後に次の行を追加します。

auth required pam_google_authenticator.so

を押しCtrl + Xて保存し、終了します。

次に、次のコマンドを入力してsshd_configファイルを編集します。

sudo nano /etc/ssh/sshd_config

用語ChallengeResponseAuthenticationを見つけて、その値をに設定しますyes。また、用語を見つけてPasswordAuthenticationコメントを外し、その値をに変更しますno

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

次のステップは、ファイルの最後に次の行を追加することです。

AuthenticationMethods publickey,keyboard-interactive

を押して、ファイルを保存して閉じますCtrl + X。Google認証システムを使用するようにSSHサーバーを構成したので、再起動します。

sudo service ssh restart

サーバーに再度ログインしてみてください。今回は認証コードを要求されます。

ssh user@serverip

Authenticated with partial success.
Verification code:

アプリが生成するコードを入力すると、正常にログインできます。

注意

携帯電話を紛失した場合は、ステップ2のバックアップコードを使用してください。バックアップコードを紛失した場合は、.google_authenticatorVultrコンソールからログインした後、ユーザーのホームディレクトリの下のファイルでいつでも見つけることができます。

結論

多要素認証を使用すると、サーバーのセキュリティが大幅に向上し、一般的なブルートフォース攻撃の阻止に役立ちます。

他のバージョン



Leave a Comment

CentOS 7にApacheをインストールする方法

CentOS 7にApacheをインストールする方法

CentOS 7サーバーにApache 2.4をインストールする方法を説明します。安定したウェブサーバーを構築するための前提条件と手順を解説します。

FreeBSD 11.1にBlacklistdをインストールする方法

FreeBSD 11.1にBlacklistdをインストールする方法

FreeBSD 11.1におけるBlacklistdのインストール方法について詳しく解説します。この方法を通じて、強力なセキュリティ対策を実装できます。

Windows Serverのサーバーマネージャーを使用した複数サーバーの管理

Windows Serverのサーバーマネージャーを使用した複数サーバーの管理

サーバーマネージャーを使用して、Windows Serverの管理が向上します。セキュリティリスクを軽減し、効率的な管理を実現します。

CentOS 7にSeafileサーバーをインストールする方法

CentOS 7にSeafileサーバーをインストールする方法

CentOS 7にSeafileサーバーをインストールする方法。Seafile(コミュニティバージョン)は、ownCloudに似た無料のオープンソースファイル同期および共有ソリューションです。

DebianでSnortを設定する方法

DebianでSnortを設定する方法

Snortは無料のネットワーク侵入検知システムです。最新の方法で、SnortをDebianにインストールし、設定する手順を紹介します。ネットワークのセキュリティを強化しましょう。

CentOS 7にGraylogサーバーをインストールする方法

CentOS 7にGraylogサーバーをインストールする方法

CentOS 7にGraylogサーバーをインストールし、ログ管理を行う方法を学びます。

WindowsでhMailServerを使用してメールサーバーを構築する

WindowsでhMailServerを使用してメールサーバーを構築する

WindowsサーバーでWebサイトを実行している場合、電子メールも受信できるようにするためにhMailServerを使用する方法を解説します。

Ubuntu 19.04にFiveMサーバーをインストールする方法

Ubuntu 19.04にFiveMサーバーをインストールする方法

FiveMサーバーをUbuntu 19.04にインストールするための詳細なガイド。必要条件からインストール、起動、トラブルシューティングまで、すべてのステップを含みます。

WsgiDAVを使用してDebian 10にWebDAVをデプロイする

WsgiDAVを使用してDebian 10にWebDAVをデプロイする

Debian 10にWebDAVをデプロイする方法を学び、WsgiDAVとSSL証明書で安全な接続を実現しましょう。

ヘルスケア2021における人工知能の影響

ヘルスケア2021における人工知能の影響

ヘルスケアにおけるAIは、過去数十年から大きな飛躍を遂げました。したがって、ヘルスケアにおけるAIの未来は、日々成長を続けています。