Cara Menyiapkan Pengesahan Dua Faktor (2FA) untuk SSH di CentOS 6 menggunakan Google Authenticator

• Langkah 1: Memasang pakej yang diperlukan
• Langkah 2: Mengkonfigurasi perisian
• Langkah 3: Mengkonfigurasi Google Authenticator pada peranti mudah alih anda
• Kesimpulannya

Setelah menukar port SSH anda, mengkonfigurasi ketukan port, dan membuat tweak lain untuk keselamatan SSH, mungkin ada satu cara lagi untuk melindungi pelayan anda; menggunakan pengesahan dua faktor. Dengan pengesahan dua faktor (2FA), seseorang memerlukan peranti mudah alih anda untuk mengakses pelayan SSH anda. Ini berguna untuk melindungi daripada semua serangan paksa kasar, dan percubaan masuk yang tidak sah.

Dalam tutorial ini, saya akan menerangkan cara mengkonfigurasi 2FA pada pelayan CentOS 6 anda dengan SSH dan Google Authenticator.

Langkah 1: Memasang pakej yang diperlukan

Pakej "google-authorator" ada di repositori lalai untuk CentOS. Jalankan arahan berikut sebagai pengguna root untuk memasangnya.

yum install pam pam-devel google-authenticator

Setelah anda memasangnya di pelayan anda, anda perlu memasang aplikasi "Google Authenticator" pada peranti mudah alih anda.

• Muat turun untuk Peranti Android
• Muat turun untuk Peranti iOS

Setelah anda memasangnya, pastikan peranti mudah alih anda sentiasa tersedia, kerana kami masih perlu mengkonfigurasi 2FA.

Langkah 2: Mengkonfigurasi perisian

Pertama, log masuk melalui SSH sebagai pengguna yang ingin anda lindungi.

Jalankan arahan berikut:

 google-authenticator

Tekan "y" pada mesej pertama, di mana ia bertanya kepada anda jika anda ingin mengemas kini ./google_authenticatorfail. Apabila meminta anda untuk tidak mengizinkan banyak penggunaan, tekan "y" sekali lagi sehingga pengguna lain tidak dapat menggunakan kod anda. Untuk pilihan lain, tekan "y", kerana semuanya meningkatkan keberkesanan perisian ini.

Hebat! Pastikan anda menyalin kunci rahsia, dan kod calar kecemasan pada sehelai kertas.

Sekarang, kita perlu mengkonfigurasi PAM untuk menggunakan 2FA.

Untuk artikel ini, saya akan menggunakan nano sebagai penyunting teks pilihan. Jalankan arahan berikut sebagai root.

nano /etc/pam.d/sshd

Tambahkan baris berikut ke bahagian atas fail.

 auth required pam_google_authenticator.so 

Simpan, kemudian tutup penyunting.

Seterusnya, konfigurasikan daemon SSH untuk menggunakan 2FA.

nano /etc/ssh/sshd_config

Cari garis yang menyerupai "ChallengeResponseAuthentication no", dan ubah "tidak" menjadi "ya".

Mulakan semula pelayan SSH:

service sshd restart

Langkah 3: Mengkonfigurasi Google Authenticator pada peranti mudah alih anda

Untuk mengkonfigurasi perisian ini, kita perlu menambahkan kunci rahsia ke dalamnya. Cari pilihan "masukkan kunci secara manual", dan ketuk. Masukkan kunci rahsia yang anda tulis sebelumnya, dan simpan. Kini kod akan muncul, dan akan sentiasa menyegarkan. Anda memerlukan ini untuk log masuk ke pelayan SSH mulai sekarang.

Kesimpulannya

Tujuan pengesahan dua faktor adalah untuk meningkatkan keselamatan pelayan anda. Oleh kerana tidak ada orang lain yang mempunyai akses ke peranti mudah alih anda, mereka tidak dapat mengetahui kod untuk log masuk ke pelayan anda.

Versi lain

• Ubuntu
• CentOS