Home » » Как настроить двухфакторную аутентификацию (2FA) для SSH в Debian 9 с помощью Google Authenticator

Как настроить двухфакторную аутентификацию (2FA) для SSH в Debian 9 с помощью Google Authenticator

Существует несколько способов входа на сервер через SSH. Методы включают вход по паролю, основанный на ключе вход в систему и двухфакторную аутентификацию.

Двухфакторная аутентификация - гораздо лучший тип защиты. В случае взлома вашего компьютера злоумышленнику все равно потребуется код доступа для входа в систему.

Из этого руководства вы узнаете, как настроить двухфакторную аутентификацию в Debian 9 с помощью Google Authenticator и SSH.

Предпосылки

  • Сервер Debian 9 (или новее).
  • Пользователь без полномочий root с доступом sudo.
  • Смартфон (Android или iOS) с установленным приложением Google Authenticator. Вы также можете использовать Authy или любое другое приложение, поддерживающее логины с одноразовым паролем на основе времени (TOTP).

Шаг 1. Установка библиотеки Google Authenticator

Нам нужно установить модуль библиотеки Google Authenticator, доступный для Debian, который позволит серверу считывать и проверять коды.

sudo apt update
sudo apt install libpam-google-authenticator -y

Шаг 2. Настройте Google Authenticator для каждого пользователя

Настройте модуль.

google-authenticator

После запуска команды вам будут заданы определенные вопросы. Первый вопрос будетDo you want authentication tokens to be time-based (y/n)

Нажмите, Yи вы получите QR-код, секретный ключ, код подтверждения и коды аварийного резервного копирования.

Выньте телефон и откройте приложение Google Authenticator. Вы можете отсканировать QR-код или добавить секретный ключ, чтобы добавить новую запись. Как только вы это сделаете, запишите резервные коды и сохраните их где-нибудь в безопасности. В случае, если ваш телефон неуместен или поврежден, вы можете использовать эти коды для входа.

Для оставшихся вопросов нажмите на Yзапрос об обновлении .google_authenticatorфайла, Yчтобы запретить многократное использование одного и того же токена, Nчтобы увеличить временное окно и Yвключить ограничение скорости.

Вам придется повторить этот шаг для всех пользователей на вашем компьютере, иначе они не смогут войти в систему после того, как вы пройдете этот урок.

Шаг 3. Настройте SSH для использования Google Authenticator

Теперь, когда все пользователи на вашем компьютере настроили приложение аутентификации Google, пришло время настроить SSH для использования этого метода аутентификации поверх текущего.

Введите следующую команду для редактирования sshdфайла.

sudo nano /etc/pam.d/sshd

Найдите строку @include common-authи закомментируйте ее, как показано ниже.

# Standard Un*x authentication.
#@include common-auth

Добавьте следующую строку в конец этого файла.

auth required pam_google_authenticator.so

Нажмите CTRL+, Xчтобы сохранить и выйти.

Затем введите следующую команду для редактирования sshd_configфайла.

sudo nano /etc/ssh/sshd_config

Найдите термин ChallengeResponseAuthenticationи установите его значение yes. Также найдите термин PasswordAuthentication, раскомментируйте его и измените его значение на no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Следующим шагом является добавление следующей строки в конец файла.

AuthenticationMethods publickey,keyboard-interactive

Сохраните и закройте файл, нажав CTRL+ X. Теперь, когда мы настроили сервер SSH для использования Google Authenticator, пришло время перезапустить его.

sudo service ssh restart

Попробуйте войти на сервер. На этот раз вам будет предложено ввести код аутентификатора.

ssh user@serverip

Authenticated with partial success.
Verification code:

Введите код, который генерирует ваше приложение, и вы успешно войдете в систему.

Запись

В случае потери телефона используйте резервные коды из шага 2. Если вы потеряли свои резервные коды, вы всегда можете найти их в .google_authenticatorфайле в домашнем каталоге пользователя после входа в систему через консоль Vultr.

Вывод

Наличие двухфакторной аутентификации значительно повышает безопасность вашего сервера и позволяет вам предотвратить обычные атаки методом перебора.


Tags: #Debian #Linux Guides #Security

Leave a Comment

Настройка NFS Share на Debian

Настройка NFS Share на Debian

NFS - это сетевая файловая система, которая позволяет компьютерам получать доступ к файлам через компьютерную сеть. Это руководство объясняет, как вы можете выставлять папки через NF

Как обновить CentOS 7, Ubuntu 16.04 и Debian 8

Как обновить CentOS 7, Ubuntu 16.04 и Debian 8

При настройке нового сервера Linux рекомендуется обновить ядро ​​системы и другие пакеты до последней стабильной версии. В этой статье

Использование MySQL Views в Debian 7

Использование MySQL Views в Debian 7

Введение В MySQL есть замечательная функция, известная как views. Представления хранятся запросы. Думайте о них как о псевдониме для длинного запроса. В этом руководстве

Настройка Chroot в Debian

Настройка Chroot в Debian

Эта статья научит вас, как настроить chroot-джейл в Debian. Я предполагаю, что вы используете Debian 7.x. Если вы используете Debian 6 или 8, это может сработать, но

Как установить PiVPN на Debian

Как установить PiVPN на Debian

Введение Простой способ настроить VPN-сервер в Debian - это PiVPN. PiVPN - это установщик и оболочка для OpenVPN. Это создает простые команды для вас т

Как собрать Brotli из исходного кода на Debian 9

Как собрать Brotli из исходного кода на Debian 9

Используете другую систему? Brotli - это новый метод сжатия с лучшей степенью сжатия, чем в Gzip. Его исходный код публично размещен на Github. Thi

Как установить Apache Cassandra 3.11.x на Debian 9

Как установить Apache Cassandra 3.11.x на Debian 9

Используете другую систему? Apache Cassandra - бесплатная система управления базами данных NoSQL с открытым исходным кодом, разработанная для обеспечения масштабируемости, высокой

Установите Lynis на Debian 8

Установите Lynis на Debian 8

Введение Lynis - это бесплатный инструмент для аудита системы с открытым исходным кодом, который используется многими системными администраторами для проверки целостности и защиты своих систем. я

Как установить InvoicePlane в Debian 9

Как установить InvoicePlane в Debian 9

Используете другую систему? InvoicePlane - это бесплатное приложение для выставления счетов с открытым исходным кодом. Его исходный код можно найти в этом хранилище Github. Этот гид

Как установить Backdrop CMS 1.8.0 на Debian 9 LAMP VPS

Как установить Backdrop CMS 1.8.0 на Debian 9 LAMP VPS

Использ��ете другую систему? Backdrop CMS 1.8.0 - это простая и гибкая, удобная для мобильных устройств, бесплатная система с открытым исходным кодом (CMS), которая позволяет нам

Установите Plesk на Debian 7 (Wheezy)

Установите Plesk на Debian 7 (Wheezy)

Используете другую систему? Plesk - это проприетарная панель управления веб-хостинга, которая позволяет пользователям управлять своими личными и / или клиентскими веб-сайтами, базами данных.

Как установить BookStack в Debian 9

Как установить BookStack в Debian 9

Используете другую систему? BookStack - это простая, удобная и простая в использовании платформа для организации и хранения информации. BookStack полностью бесплатен и открыт

Как установить Pagekit 1.0 CMS на Debian 9 LAMP VPS

Как установить Pagekit 1.0 CMS на Debian 9 LAMP VPS

Используете другую систему? Pagekit 1.0 CMS - это красивая, модульная, расширяемая и легкая, бесплатная и с открытым исходным кодом система управления контентом (CMS) с

Как установить Subrion 4.1 CMS на Debian 9 LAMP VPS

Как установить Subrion 4.1 CMS на Debian 9 LAMP VPS

Используете другую систему? Subrion 4.1 CMS - это мощная и гибкая система управления контентом с открытым исходным кодом (CMS), которая обеспечивает интуитивно понятный и понятный контент.

Лучшие инструменты мониторинга для Ubuntu и CentOS

Лучшие инструменты мониторинга для Ubuntu и CentOS

Введение Системы Linux поставляются с инструментами мониторинга по умолчанию, такими как top, df и du, которые помогают отслеживать процессы и дисковое пространство. Хотя часто они

Настройте сервер синхронизации Firefox на Debian 9 или Ubuntu 16.04

Настройте сервер синхронизации Firefox на Debian 9 или Ubuntu 16.04

Используете другую систему? Firefox Sync - это функция синхронизации браузера, которая позволяет вам делиться своими данными и предпочтениями (такими как закладки, история

Как установить CMS за октябрь 1.0 на Debian 9 LAMP VPS

Как установить CMS за октябрь 1.0 на Debian 9 LAMP VPS

Используете другую систему? Октябрь 1.0 CMS - это простая и надежная, бесплатная система управления контентом (CMS) с открытым исходным кодом, построенная на платформе Laravel.

Как установить X-Cart 5 на Debian 10

Как установить X-Cart 5 на Debian 10

Используете другую систему? X-Cart - чрезвычайно гибкая платформа электронной коммерции с открытым исходным кодом, обладающая множеством функций и интеграций. Исходный код X-Cart доступен

Отслеживайте состояние сервера Debian с помощью Munin

Отслеживайте состояние сервера Debian с помощью Munin

Munin - это инструмент для мониторинга процессов и ресурсов на вашем компьютере, который представляет информацию в виде графиков через веб-интерфейс. Используйте следующее

Как включить TLS 1.3 в Apache на Debian 10

Как включить TLS 1.3 в Apache на Debian 10

Используете другую систему? TLS 1.3 - это версия протокола безопасности транспортного уровня (TLS), который был опубликован в 2018 году в качестве предлагаемого стандарта в RFC 8446.

Изучение 26 методов анализа больших данных: часть 1

Изучение 26 методов анализа больших данных: часть 1

Изучение 26 методов анализа больших данных: часть 1

6 невероятных фактов о Nintendo Switch

6 невероятных фактов о Nintendo Switch

Многие из вас знают Switch, который выйдет в марте 2017 года, и его новые функции. Для тех, кто не знает, мы подготовили список функций, которые делают «Switch» обязательным гаджетом.

Технические обещания, которые все еще не выполнены

Технические обещания, которые все еще не выполнены

Вы ждете, когда технологические гиганты выполнят свои обещания? проверить, что осталось недоставленным.

Функциональные возможности уровней эталонной архитектуры больших данных

Функциональные возможности уровней эталонной архитектуры больших данных

Прочтите блог, чтобы узнать о различных уровнях архитектуры больших данных и их функциях самым простым способом.

Как ИИ может вывести автоматизацию процессов на новый уровень?

Как ИИ может вывести автоматизацию процессов на новый уровень?

Прочтите это, чтобы узнать, как искусственный интеллект становится популярным среди небольших компаний и как он увеличивает вероятность их роста и дает преимущество перед конкурентами.

CAPTCHA: как долго она может оставаться жизнеспособным методом различения между человеком и ИИ?

CAPTCHA: как долго она может оставаться жизнеспособным методом различения между человеком и ИИ?

CAPTCHA стало довольно сложно решать пользователям за последние несколько лет. Сможет ли он оставаться эффективным в обнаружении спама и ботов в ближайшем будущем?

Технологическая сингулярность: далекое будущее человеческой цивилизации?

Технологическая сингулярность: далекое будущее человеческой цивилизации?

По мере того, как наука развивается быстрыми темпами, принимая на себя большую часть наших усилий, также возрастает риск подвергнуться необъяснимой сингулярности. Прочтите, что может значить для нас необычность.

Телемедицина и удаленное здравоохранение: будущее уже здесь

Телемедицина и удаленное здравоохранение: будущее уже здесь

Что такое телемедицина, дистанционное здравоохранение и их влияние на будущее поколение? Это хорошее место или нет в ситуации пандемии? Прочтите блог, чтобы узнать мнение!

Вы когда-нибудь задумывались, как хакеры зарабатывают деньги?

Вы когда-нибудь задумывались, как хакеры зарабатывают деньги?

Возможно, вы слышали, что хакеры зарабатывают много денег, но задумывались ли вы когда-нибудь о том, как они зарабатывают такие деньги? Давайте обсудим.

Обновление дополнения к macOS Catalina 10.15.4 вызывает больше проблем, чем решает

Обновление дополнения к macOS Catalina 10.15.4 вызывает больше проблем, чем решает

Недавно Apple выпустила macOS Catalina 10.15.4, дополнительное обновление для исправления проблем, но похоже, что это обновление вызывает больше проблем, приводящих к поломке компьютеров Mac. Прочтите эту статью, чтобы узнать больше