Как настроить двухфакторную аутентификацию (2FA) для SSH на CentOS 6 с помощью Google Authenticator

• Шаг 1: Установка необходимых пакетов
• Шаг 2: Настройка программного обеспечения
• Шаг 3. Настройка Google Authenticator на вашем мобильном устройстве
• Заключение

После изменения порта SSH, настройки стука портов и других настроек безопасности SSH, возможно, существует еще один способ защитить свой сервер; используя двухфакторную аутентификацию. При двухфакторной аутентификации (2FA) человеку потребуется ваше мобильное устройство для доступа к вашему SSH-серверу. Это может быть полезно для защиты от всех атак методом перебора и несанкционированных попыток входа в систему.

В этом уроке я объясню, как настроить 2FA на вашем сервере CentOS 6 с SSH и Google Authenticator.

Шаг 1: Установка необходимых пакетов

Пакет "google-authenticator" существует в репозитории по умолчанию для CentOS. Запустите следующую команду от имени пользователя root, чтобы установить его.

yum install pam pam-devel google-authenticator

Теперь, когда это установлено на вашем сервере, вам нужно установить приложение «Google Authenticator» на ваше мобильное устройство.

• Скачать для Android устройств
• Скачать для iOS устройств

После установки оставьте мобильное устройство доступным, поскольку нам все еще нужно настроить 2FA.

Шаг 2: Настройка программного обеспечения

Сначала войдите через SSH как пользователь, которого вы хотите защитить.

Выполните следующую команду:

 google-authenticator

Нажмите «y» в первом сообщении, где вас спросят, хотите ли вы обновить ./google_authenticatorфайл. Когда вам будет предложено запретить многократное использование, снова нажмите «y», чтобы другой пользователь не мог использовать ваш код. Для остальных параметров нажмите «y», поскольку все они повышают эффективность данного программного обеспечения.

Большой! Убедитесь, что вы скопировали секретный ключ и коды аварийной царапины на листе бумаги.

Теперь нам нужно настроить PAM для использования 2FA.

В этой статье я буду использовать nano в качестве предпочтительного текстового редактора. Выполните следующую команду от имени пользователя root.

nano /etc/pam.d/sshd

Добавьте следующую строку в начало файла.

 auth required pam_google_authenticator.so 

Сохраните, затем закройте редактор.

Затем настройте демон SSH для использования 2FA.

nano /etc/ssh/sshd_config

Найдите строку, которая напоминает «ChallengeResponseAuthentication no», и измените «нет» на «да».

Перезапустите сервер SSH:

service sshd restart

Шаг 3. Настройка Google Authenticator на вашем мобильном устройстве

Чтобы настроить это программное обеспечение, нам нужно добавить в него секретный ключ. Найдите опцию «вручную ввести ключ» и нажмите на нее. Введите секретный ключ, который вы записали ранее, и сохраните. Теперь появится код, который будет обновляться очень часто. Это вам понадобится для входа на сервер SSH с этого момента.

Заключение

Целью двухфакторной аутентификации является повышение безопасности вашего сервера. Поскольку никто другой не будет иметь доступа к вашему мобильному устройству, он не сможет определить код для входа на ваш сервер.

Другие версии

• Ubuntu
• CentOS