วิธีตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) สำหรับ SSH บน CentOS 6 โดยใช้ Google Authenticator

• ขั้นตอนที่ 1: การติดตั้งแพ็คเกจที่จำเป็น
• ขั้นตอนที่ 2: การกำหนดค่าซอฟต์แวร์
• ขั้นตอนที่ 3: กำหนดค่า Google Authenticator บนอุปกรณ์มือถือของคุณ
• ข้อสรุป

หลังจากเปลี่ยนพอร์ต SSH ของคุณกำหนดค่าการเคาะพอร์ตและปรับแต่งอื่น ๆ สำหรับความปลอดภัย SSH อาจมีอีกวิธีหนึ่งที่คุณสามารถปกป้องเซิร์ฟเวอร์ของคุณได้ ใช้การรับรองความถูกต้องสองปัจจัย ด้วยการรับรองความถูกต้องด้วยสองปัจจัย (2FA) บุคคลจะต้องใช้อุปกรณ์มือถือของคุณเพื่อเข้าถึงเซิร์ฟเวอร์ SSH ของคุณ สิ่งนี้มีประโยชน์ในการป้องกันการโจมตีแบบเดรัจฉานและการพยายามล็อกอินโดยไม่ได้รับอนุญาต

ในบทช่วยสอนนี้ฉันจะอธิบายวิธีกำหนดค่า 2FA บนเซิร์ฟเวอร์ CentOS 6 ของคุณด้วย SSH และ Google Authenticator

ขั้นตอนที่ 1: การติดตั้งแพ็คเกจที่จำเป็น

แพ็คเกจ "google-authenticator" มีอยู่ในที่เก็บเริ่มต้นสำหรับ CentOS รันคำสั่งต่อไปนี้ในฐานะผู้ใช้รูทเพื่อติดตั้ง

yum install pam pam-devel google-authenticator

หลังจากที่คุณติดตั้งสิ่งนี้บนเซิร์ฟเวอร์ของคุณคุณจะต้องติดตั้งแอป "Google Authenticator" บนอุปกรณ์มือถือของคุณ

• ดาวน์โหลดสำหรับอุปกรณ์ Android
• ดาวน์โหลดสำหรับอุปกรณ์ iOS

หลังจากที่คุณติดตั้งให้อุปกรณ์มือถือของคุณพร้อมใช้งานเพราะเรายังต้องกำหนดค่า 2FA

ขั้นตอนที่ 2: การกำหนดค่าซอฟต์แวร์

ขั้นแรกให้ลงชื่อเข้าใช้ผ่าน SSH ในฐานะผู้ใช้ที่คุณต้องการรักษาความปลอดภัย

ดำเนินการคำสั่งต่อไปนี้:

 google-authenticator

กดปุ่ม "y" ที่ข้อความแรกซึ่งจะถามคุณว่าคุณต้องการอัปเดต./google_authenticatorไฟล์หรือไม่ เมื่อระบบแจ้งให้คุณไม่อนุญาตการใช้งานหลายครั้งให้กด "y" อีกครั้งเพื่อให้ผู้ใช้รายอื่นไม่สามารถใช้รหัสของคุณได้ สำหรับตัวเลือกที่เหลือให้กดปุ่ม "y" เพื่อปรับปรุงประสิทธิภาพของซอฟต์แวร์นี้

ที่ดี! ตรวจสอบให้แน่ใจว่าคุณได้คัดลอกรหัสลับและรหัสลับฉุกเฉินบนแผ่นกระดาษ

ตอนนี้เราต้องกำหนดค่า PAM ให้ใช้ 2FA

สำหรับบทความนี้ฉันจะใช้นาโนเป็นตัวแก้ไขข้อความที่ต้องการ ดำเนินการคำสั่งต่อไปนี้เป็น root

nano /etc/pam.d/sshd

เพิ่มบรรทัดต่อไปนี้ที่ด้านบนของไฟล์

 auth required pam_google_authenticator.so 

บันทึกจากนั้นปิดตัวแก้ไข

ถัดไปกำหนดค่า SSH daemon เพื่อใช้ 2FA

nano /etc/ssh/sshd_config

ค้นหาบรรทัดที่คล้ายกับ "ChallengeResponseAuthentication no" และเปลี่ยน "ไม่ใช่" เป็น "ใช่"

รีสตาร์ทเซิร์ฟเวอร์ SSH:

service sshd restart

ขั้นตอนที่ 3: กำหนดค่า Google Authenticator บนอุปกรณ์มือถือของคุณ

ในการกำหนดค่าซอฟต์แวร์นี้เราจำเป็นต้องเพิ่มรหัสลับลงไป ค้นหาตัวเลือก "ป้อนรหัสด้วยตนเอง" แล้วแตะที่ ป้อนรหัสลับที่คุณจดบันทึกไว้ก่อนหน้านี้แล้วบันทึก รหัสจะปรากฏขึ้นและจะรีเฟรชทุก ๆ ครั้ง คุณจะต้องใช้วิธีนี้ในการเข้าสู่ระบบเซิร์ฟเวอร์ SSH นับจากนี้เป็นต้นไป

ข้อสรุป

วัตถุประสงค์ของการตรวจสอบสิทธิ์แบบสองปัจจัยคือเพื่อปรับปรุงความปลอดภัยของเซิร์ฟเวอร์ของคุณ เนื่องจากไม่มีใครสามารถเข้าถึงอุปกรณ์มือถือของคุณพวกเขาจะไม่สามารถคิดรหัสเพื่อเข้าสู่เซิร์ฟเวอร์ของคุณ

รุ่นอื่น ๆ

• อูบุนตู
• CentOS