Jak skonfigurować uwierzytelnianie dwuskładnikowe (2FA) dla SSH na CentOS 6 za pomocą Google Authenticator

• Krok 1: Instalowanie wymaganych pakietów
• Krok 2: Konfiguracja oprogramowania
• Krok 3: Konfigurowanie Google Authenticator na urządzeniu mobilnym
• Wniosek

Po zmianie portu SSH, skonfigurowaniu przełączania portów i wprowadzeniu innych poprawek bezpieczeństwa SSH istnieje jeszcze jeden sposób, aby chronić swój serwer; za pomocą uwierzytelniania dwuskładnikowego. Dzięki uwierzytelnianiu dwuskładnikowemu (2FA) osoba wymagałaby od urządzenia mobilnego dostępu do serwera SSH. Może to być przydatne do ochrony przed wszystkimi brutalnymi atakami wymuszającymi i nieautoryzowanymi próbami logowania.

W tym samouczku wyjaśnię, jak skonfigurować 2FA na serwerze CentOS 6 za pomocą SSH i Google Authenticator.

Krok 1: Instalowanie wymaganych pakietów

Pakiet „Google-Authenticator” istnieje w domyślnym repozytorium dla CentOS. Uruchom następujące polecenie jako użytkownik root, aby je zainstalować.

yum install pam pam-devel google-authenticator

Po zainstalowaniu tego na serwerze musisz zainstalować aplikację „Google Authenticator” na urządzeniu mobilnym.

• Pobierz na urządzenia z systemem Android
• Pobierz na urządzenia z systemem iOS

Po zainstalowaniu przechowuj urządzenie mobilne w gotowości, ponieważ nadal musimy skonfigurować 2FA.

Krok 2: Konfiguracja oprogramowania

Najpierw zaloguj się przez SSH jako użytkownik, którego chcesz zabezpieczyć.

Wykonaj następujące polecenie:

 google-authenticator

Naciśnij „y” przy pierwszej wiadomości, w której pojawi się pytanie, czy chcesz zaktualizować ./google_authenticatorplik. Gdy pojawi się monit o niedopuszczenie do wielokrotnego użycia, ponownie naciśnij „y”, aby inny użytkownik nie mógł użyć Twojego kodu. W pozostałych opcjach naciśnij „y”, ponieważ wszystkie one poprawiają skuteczność tego oprogramowania.

Świetny! Upewnij się, że zapisałeś tajny klucz i awaryjne kody podrapane na kartce papieru.

Teraz musimy skonfigurować PAM do używania 2FA.

W tym artykule użyję nano jako preferowanego edytora tekstu. Wykonaj następujące polecenie jako root.

nano /etc/pam.d/sshd

Dodaj następujący wiersz na górze pliku.

 auth required pam_google_authenticator.so 

Zapisz, a następnie zamknij edytor.

Następnie skonfiguruj demona SSH do korzystania z 2FA.

nano /etc/ssh/sshd_config

Znajdź wiersz podobny do „ChallengeResponseAuthentication no” i zmień „no” na „yes”.

Uruchom ponownie serwer SSH:

service sshd restart

Krok 3: Konfigurowanie Google Authenticator na urządzeniu mobilnym

Aby skonfigurować to oprogramowanie, musimy dodać do niego tajny klucz. Znajdź opcję „ręcznie wprowadź klucz” i dotknij tego. Wprowadź tajny klucz, który wcześniej zapisałeś i zapisz. Kod pojawi się teraz i będzie odświeżany co jakiś czas. Będziesz musiał to teraz zalogować do serwera SSH.

Wniosek

Uwierzytelnianie dwuskładnikowe ma na celu poprawę bezpieczeństwa serwera. Ponieważ nikt inny nie będzie miał dostępu do Twojego urządzenia mobilnego, nie będzie w stanie znaleźć kodu do zalogowania się na serwerze.

Inne wersje

• Ubuntu
• CentOS