Как настроить двухфакторную аутентификацию (2FA) для SSH в Ubuntu 14.04 с помощью Google Authenticator

• Шаг 1: Предпосылки
• Шаг 2. Установка библиотеки Google Authenticator
• Шаг 3. Настройте Google Authenticator для каждого пользователя.
• Шаг 4. Настройте SSH для использования Google Authenticator
• Заметка
• Вывод

Существует несколько способов входа на сервер через SSH. Методы включают вход по паролю, основанный на ключе вход в систему и двухфакторную аутентификацию.

Двухфакторная аутентификация - гораздо лучший тип защиты. В случае взлома вашего компьютера злоумышленнику все равно потребуется код доступа для входа в систему.

Из этого руководства вы узнаете, как настроить двухфакторную аутентификацию на сервере Ubuntu с помощью Google Authenticator и SSH.

Шаг 1: Предпосылки

• Сервер Ubuntu 14.04 (или новее).
• Пользователь без полномочий root с доступом sudo.
• Смартфон (Android или iOS) с установленным приложением Google Authenticator. Вы также можете использовать Authy или любое другое приложение, поддерживающее логины на основе TOTP.

Шаг 2. Установка библиотеки Google Authenticator

Нам нужно установить модуль библиотеки Google Authenticator, доступный для Ubuntu, который позволит серверу считывать и проверять коды. Запустите следующие команды.

sudo apt-get update
sudo apt-get install libpam-google-authenticator

Шаг 3. Настройте Google Authenticator для каждого пользователя.

Чтобы настроить модуль, просто запустите следующую команду.

google-authenticator

После запуска команды вам будут заданы определенные вопросы. Первый вопрос будет:

Do you want authentication tokens to be time-based (y/n)

Нажмите, yи вы получите QR-код, секретный ключ, код подтверждения и коды аварийного резервного копирования.

Выньте телефон и откройте приложение Google Authenticator. Вы можете отсканировать QR-код или добавить секретный ключ, чтобы добавить новую запись. Сделав это, запишите резервные коды и сохраните их где-нибудь в безопасности. В случае, если ваш телефон неуместен или поврежден, вы можете использовать эти коды для входа.

Для оставшихся вопросов нажмите, yкогда будет предложено обновить .google_authenticatorфайл, yчтобы запретить многократное использование одного и того же токена, nчтобы увеличить временное окно и yвключить ограничение скорости.

Вам придется повторить шаг 3 для всех пользователей на вашем компьютере, иначе они не смогут войти в систему после того, как вы пройдете этот урок.

Шаг 4. Настройте SSH для использования Google Authenticator

Теперь, когда все пользователи на вашем компьютере настроили свое приложение Google authenticator, пришло время настроить SSH для использования этого метода аутентификации поверх текущего.

Введите следующую команду для редактирования sshdфайла.

sudo nano /etc/pam.d/sshd

Найдите строку @include common-authи закомментируйте ее, как показано ниже.

# Standard Un*x authentication.
#@include common-auth

Добавьте следующую строку в конец этого файла.

auth required pam_google_authenticator.so

Нажмите, Ctrl + Xчтобы сохранить и выйти.

Затем введите следующую команду для редактирования sshd_configфайла.

sudo nano /etc/ssh/sshd_config

Найдите термин ChallengeResponseAuthenticationи установите его значение yes. Также найдите термин PasswordAuthentication, раскомментируйте его и измените его значение на no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

Следующим шагом является добавление следующей строки в конец файла.

AuthenticationMethods publickey,keyboard-interactive

Сохраните и закройте файл, нажав Ctrl + X. Теперь, когда мы настроили сервер SSH для использования Google Authenticator, пришло время перезапустить его.

sudo service ssh restart

Попробуйте войти на сервер. На этот раз вам будет предложено ввести код аутентификатора.

ssh user@serverip

Authenticated with partial success.
Verification code:

Введите код, который генерирует ваше приложение, и вы успешно войдете в систему.

Заметка

В случае потери телефона используйте резервные коды из шага 2. Если вы потеряли свои резервные коды, вы всегда можете найти их в .google_authenticatorфайле в домашнем каталоге пользователя после входа в систему через консоль Vultr.

Вывод

Наличие многофакторной аутентификации значительно повышает безопасность вашего сервера и позволяет вам предотвратить обычные атаки методом перебора.

Другие версии

• Ubuntu
• CentOS