Как настроить двухфакторную аутентификацию (2FA) для SSH в Debian 9 с помощью Google Authenticator

• Предпосылки
• Шаг 1. Установка библиотеки Google Authenticator
• Шаг 2. Настройте Google Authenticator для каждого пользователя
• Шаг 3. Настройте SSH для использования Google Authenticator
• Запись
• Вывод

Существует несколько способов входа на сервер через SSH. Методы включают вход по паролю, основанный на ключе вход в систему и двухфакторную аутентификацию.

Двухфакторная аутентификация - гораздо лучший тип защиты. В случае взлома вашего компьютера злоумышленнику все равно потребуется код доступа для входа в систему.

Из этого руководства вы узнаете, как настроить двухфакторную аутентификацию в Debian 9 с помощью Google Authenticator и SSH.

Предпосылки

• Сервер Debian 9 (или новее).
• Пользователь без полномочий root с доступом sudo.
• Смартфон (Android или iOS) с установленным приложением Google Authenticator. Вы также можете использовать Authy или любое другое приложение, поддерживающее логины с одноразовым паролем на основе времени (TOTP).

Шаг 1. Установка библиотеки Google Authenticator

Нам нужно установить модуль библиотеки Google Authenticator, доступный для Debian, который позволит серверу считывать и проверять коды.

sudo apt update
sudo apt install libpam-google-authenticator -y

Шаг 2. Настройте Google Authenticator для каждого пользователя

Настройте модуль.

google-authenticator

После запуска команды вам будут заданы определенные вопросы. Первый вопрос будетDo you want authentication tokens to be time-based (y/n)

Нажмите, Yи вы получите QR-код, секретный ключ, код подтверждения и коды аварийного резервного копирования.

Выньте телефон и откройте приложение Google Authenticator. Вы можете отсканировать QR-код или добавить секретный ключ, чтобы добавить новую запись. Как только вы это сделаете, запишите резервные коды и сохраните их где-нибудь в безопасности. В случае, если ваш телефон неуместен или поврежден, вы можете использовать эти коды для входа.

Для оставшихся вопросов нажмите на Yзапрос об обновлении .google_authenticatorфайла, Yчтобы запретить многократное использование одного и того же токена, Nчтобы увеличить временное окно и Yвключить ограничение скорости.

Вам придется повторить этот шаг для всех пользователей на вашем компьютере, иначе они не смогут войти в систему после того, как вы пройдете этот урок.

Шаг 3. Настройте SSH для использования Google Authenticator

Теперь, когда все пользователи на вашем компьютере настроили приложение аутентификации Google, пришло время настроить SSH для использования этого метода аутентификации поверх текущего.

Введите следующую команду для редактирования sshdфайла.

sudo nano /etc/pam.d/sshd

Найдите строку @include common-authи закомментируйте ее, как показано ниже.

# Standard Un*x authentication.
#@include common-auth

Добавьте следующую строку в конец этого файла.

auth required pam_google_authenticator.so

Нажмите CTRL+, Xчтобы сохранить и выйти.

Затем введите следующую команду для редактирования sshd_configфайла.

sudo nano /etc/ssh/sshd_config

Найдите термин ChallengeResponseAuthenticationи установите его значение yes. Также найдите термин PasswordAuthentication, раскомментируйте его и измените его значение на no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Следующим шагом является добавление следующей строки в конец файла.

AuthenticationMethods publickey,keyboard-interactive

Сохраните и закройте файл, нажав CTRL+ X. Теперь, когда мы настроили сервер SSH для использования Google Authenticator, пришло время перезапустить его.

sudo service ssh restart

Попробуйте войти на сервер. На этот раз вам будет предложено ввести код аутентификатора.

ssh user@serverip

Authenticated with partial success.
Verification code:

Введите код, который генерирует ваше приложение, и вы успешно войдете в систему.

Запись

В случае потери телефона используйте резервные коды из шага 2. Если вы потеряли свои резервные коды, вы всегда можете найти их в .google_authenticatorфайле в домашнем каталоге пользователя после входа в систему через консоль Vultr.

Вывод

Наличие двухфакторной аутентификации значительно повышает безопасность вашего сервера и позволяет вам предотвратить обычные атаки методом перебора.