Hoe twee-factor-authenticatie (2FA) voor SSH op Ubuntu 14.04 in te stellen met Google Authenticator

• Stap 1: Vereisten
• Stap 2: Google Authenticator-bibliotheek installeren
• Stap 3: Configureer Google Authenticator voor elke gebruiker
• Stap 4: Configureer SSH om Google Authenticator te gebruiken
• Opmerking
• Gevolgtrekking

Er zijn verschillende manieren om via SSH in te loggen op een server. Methoden omvatten wachtwoordaanmelding, sleutelgebaseerde aanmelding en tweefactorauthenticatie.

Twee-factor-authenticatie is een veel beter type bescherming. In het geval dat uw computer in gevaar komt, heeft de aanvaller nog steeds een toegangscode nodig om in te loggen.

In deze zelfstudie leert u hoe u authenticatie in twee stappen instelt op een Ubuntu-server met Google Authenticator en SSH.

Stap 1: Vereisten

• Een Ubuntu 14.04-server (of nieuwer).
• Een niet-rootgebruiker met sudo-toegang.
• Een smartphone (Android of iOS) waarop de Google Authenticator-app is geïnstalleerd. U kunt ook Authy of een andere app gebruiken die op TOTP gebaseerde aanmeldingen ondersteunt.

Stap 2: Google Authenticator-bibliotheek installeren

We moeten de Google Authenticator-bibliotheekmodule installeren die beschikbaar is voor Ubuntu, waardoor de server codes kan lezen en valideren. Voer de volgende opdrachten uit.

sudo apt-get update
sudo apt-get install libpam-google-authenticator

Stap 3: Configureer Google Authenticator voor elke gebruiker

Voer de volgende opdracht uit om de module te configureren.

google-authenticator

Nadat u de opdracht hebt uitgevoerd, wordt u bepaalde vragen gesteld. De eerste vraag zou zijn:

Do you want authentication tokens to be time-based (y/n)

Druk op yen u krijgt een QR-code, geheime sleutel, verificatiecode en noodback-upcodes.

Haal je telefoon tevoorschijn en open de Google Authenticator-app. U kunt de QR-code scannen of de geheime sleutel toevoegen om een ​​nieuw item toe te voegen. Zodra u dat hebt gedaan, noteert u de back-upcodes en bewaart u ze ergens. Als uw telefoon zoek raakt of beschadigd raakt, kunt u die codes gebruiken om in te loggen.

Druk voor de overige vragen op ywanneer u wordt gevraagd om het .google_authenticatorbestand bij te werken , yom meerdere keren gebruik van hetzelfde token toe te staan, nom het tijdvenster te vergroten en yom snelheidsbeperking in te schakelen.

U moet stap 3 herhalen voor alle gebruikers op uw computer, anders kunnen ze niet inloggen als u klaar bent met deze tutorial.

Stap 4: Configureer SSH om Google Authenticator te gebruiken

Nu alle gebruikers op uw computer hun Google-authenticator-app hebben ingesteld, is het tijd om de SSH te configureren om deze authenticatiemethode te gebruiken boven de huidige.

Voer de volgende opdracht in om het sshdbestand te bewerken .

sudo nano /etc/pam.d/sshd

Vind de regel @include common-authen becommentarieer deze zoals hieronder.

# Standard Un*x authentication.
#@include common-auth

Voeg de volgende regel onder aan dit bestand toe.

auth required pam_google_authenticator.so

Druk Ctrl + Xop om op te slaan en af ​​te sluiten.

Voer vervolgens de volgende opdracht in om het sshd_configbestand te bewerken .

sudo nano /etc/ssh/sshd_config

Zoek de term ChallengeResponseAuthenticationen stel de waarde in op yes. Vind ook de term PasswordAuthentication, verwijder deze en verander de waarde ervan no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

De volgende stap is om de volgende regel onder aan het bestand toe te voegen.

AuthenticationMethods publickey,keyboard-interactive

Sla het bestand op en sluit het door op te drukken Ctrl + X. Nu we de SSH-server hebben geconfigureerd om de Google Authenticator te gebruiken, is het tijd om hem opnieuw op te starten.

sudo service ssh restart

Probeer opnieuw in te loggen op de server. Deze keer wordt u om uw Authenticator-code gevraagd.

ssh user@serverip

Authenticated with partial success.
Verification code:

Voer de code in die uw app genereert en u wordt succesvol ingelogd.

Opmerking

Als u uw telefoon kwijtraakt, gebruikt u de back-upcodes van stap 2. Als u uw back-upcodes kwijt bent, kunt u ze altijd vinden in het .google_authenticatorbestand onder de homedirectory van de gebruiker nadat u zich hebt aangemeld via de Vultr-console.

Gevolgtrekking

Het hebben van meervoudige authenticatie verbetert de beveiliging van uw server aanzienlijk en stelt u in staat om veelvoorkomende brute force-aanvallen te dwarsbomen.

Andere versies

• Ubuntu
• CentOS