วิธีการตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) สำหรับ SSH ใน Debian 9 โดยใช้ Google Authenticator

• ข้อกำหนดเบื้องต้น
• ขั้นตอนที่ 1: การติดตั้งห้องสมุด Google Authenticator
• ขั้นตอนที่ 2: กำหนดค่า Google Authenticator สำหรับผู้ใช้แต่ละคน
• ขั้นตอนที่ 3: กำหนดค่า SSH เพื่อใช้ Google Authenticator
• บันทึก
• ข้อสรุป

มีหลายวิธีในการเข้าสู่เซิร์ฟเวอร์ผ่าน SSH วิธีการรวมถึงการเข้าสู่ระบบด้วยรหัสผ่านการเข้าสู่ระบบด้วยคีย์และการรับรองความถูกต้องด้วยสองปัจจัย

การพิสูจน์ตัวตนแบบสองปัจจัยเป็นการป้องกันที่ดีกว่ามาก ในกรณีที่คอมพิวเตอร์ของคุณถูกโจมตีผู้โจมตีจะต้องใช้รหัสเข้าสู่ระบบเพื่อเข้าสู่ระบบ

ในบทช่วยสอนนี้คุณจะได้เรียนรู้วิธีตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัยใน Debian 9 โดยใช้ Google Authenticator และ SSH

ข้อกำหนดเบื้องต้น

• เซิร์ฟเวอร์ Debian 9 (หรือใหม่กว่า)
• ผู้ใช้ที่ไม่ใช่รูทด้วยการเข้าถึง sudo
• โทรศัพท์สมาร์ทโฟน (Android หรือ iOS) ที่ติดตั้ง Google Authenticator App นอกจากนี้คุณยังสามารถใช้ Authy หรือแอพอื่น ๆ ที่รองรับการลงชื่อเข้าใช้รหัสผ่านครั้งเดียว (TOTP)

ขั้นตอนที่ 1: การติดตั้งห้องสมุด Google Authenticator

เราจำเป็นต้องติดตั้งโมดูลห้องสมุด Google Authenticator สำหรับ Debian ซึ่งจะอนุญาตให้เซิร์ฟเวอร์อ่านและตรวจสอบรหัส

sudo apt update
sudo apt install libpam-google-authenticator -y

ขั้นตอนที่ 2: กำหนดค่า Google Authenticator สำหรับผู้ใช้แต่ละคน

กำหนดค่าโมดูล

google-authenticator

เมื่อคุณเรียกใช้คำสั่งคุณจะถูกถามคำถามบางอย่าง คำถามแรกจะเป็นอย่างไรDo you want authentication tokens to be time-based (y/n)

กดYและคุณจะได้รับรหัส QR, รหัสลับ, รหัสยืนยันและรหัสสำรองฉุกเฉิน

นำโทรศัพท์ออกและเปิดแอป Google Authenticator คุณสามารถสแกนรหัส QR หรือเพิ่มรหัสลับเพื่อเพิ่มรายการใหม่ เมื่อคุณทำเช่นนั้นแล้วให้จดรหัสสำรองไว้และเก็บไว้ในที่ปลอดภัย ในกรณีที่โทรศัพท์ของคุณถูกวางผิดที่หรือเสียหายคุณสามารถใช้รหัสเหล่านั้นเพื่อเข้าสู่ระบบ

สำหรับคำถามที่เหลือให้กดYเมื่อถูกขอให้อัปเดต.google_authenticatorไฟล์Yเพื่อไม่อนุญาตให้ใช้โทเค็นเดียวกันหลายครั้งNเพื่อเพิ่มเวลาและYเพื่อ จำกัด การใช้อัตรา

คุณจะต้องทำซ้ำขั้นตอนนี้สำหรับผู้ใช้ทั้งหมดในเครื่องของคุณไม่เช่นนั้นพวกเขาจะไม่สามารถเข้าสู่ระบบได้เมื่อคุณผ่านบทช่วยสอนนี้

ขั้นตอนที่ 3: กำหนดค่า SSH เพื่อใช้ Google Authenticator

ตอนนี้ผู้ใช้ทุกคนในเครื่องของคุณได้ติดตั้งแอป Google authenticator แล้วถึงเวลาที่จะกำหนดค่า SSH ให้ใช้วิธีการตรวจสอบสิทธิ์นี้กับแอพที่ใช้อยู่ในปัจจุบัน

ป้อนคำสั่งต่อไปนี้เพื่อแก้ไขsshdไฟล์

sudo nano /etc/pam.d/sshd

ค้นหาบรรทัด@include common-authและแสดงความคิดเห็นเช่นเดียวกับที่แสดงด้านล่าง

# Standard Un*x authentication.
#@include common-auth

เพิ่มบรรทัดต่อไปนี้ที่ด้านล่างของไฟล์นี้

auth required pam_google_authenticator.so

กดCTRL+ Xเพื่อบันทึกและออก

จากนั้นป้อนคำสั่งต่อไปนี้เพื่อแก้ไขsshd_configไฟล์

sudo nano /etc/ssh/sshd_config

ค้นหาคำและการตั้งค่าของChallengeResponseAuthentication yesยังหาคำPasswordAuthentication, uncomment noมันและเปลี่ยนค่าของ

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

ขั้นตอนต่อไปคือการเพิ่มบรรทัดต่อไปนี้ที่ด้านล่างของไฟล์

AuthenticationMethods publickey,keyboard-interactive

บันทึกและปิดแฟ้มโดยการกด+CTRL Xตอนนี้เราได้กำหนดค่าเซิร์ฟเวอร์ SSH ให้ใช้ Google Authenticator แล้วถึงเวลาที่ต้องรีสตาร์ทแล้ว

sudo service ssh restart

ลองเข้าสู่ระบบกลับสู่เซิร์ฟเวอร์ ครั้งนี้คุณจะถูกขอรหัส Authenticator ของคุณ

ssh user@serverip

Authenticated with partial success.
Verification code:

ป้อนรหัสที่แอปของคุณสร้างขึ้นและคุณจะลงชื่อเข้าใช้ได้สำเร็จ

บันทึก

ในกรณีที่คุณทำโทรศัพท์หายให้ใช้รหัสสำรองจากขั้นตอนที่ 2 หากคุณทำรหัสสำรองหายคุณสามารถค้นหาได้ใน.google_authenticatorไฟล์ภายใต้โฮมไดเร็กตอรี่ของผู้ใช้หลังจากคุณเข้าสู่ระบบผ่านคอนโซล Vultr

ข้อสรุป

การมีการพิสูจน์ตัวตนแบบสองปัจจัยช่วยปรับปรุงความปลอดภัยของเซิร์ฟเวอร์ของคุณอย่างมากและช่วยให้คุณสามารถป้องกันการโจมตีแบบเดรัจฉาน