Sau khi thay đổi cổng SSH, định cấu hình gõ cổng và thực hiện các chỉnh sửa khác để bảo mật SSH, có lẽ có một cách nữa để bạn có thể bảo vệ máy chủ của mình; sử dụng xác thực hai yếu tố. Với xác thực hai yếu tố (2FA), một người sẽ yêu cầu thiết bị di động của bạn truy cập máy chủ SSH của bạn. Điều này có thể hữu ích để bảo vệ chống lại tất cả các cuộc tấn công cưỡng bức và các nỗ lực đăng nhập trái phép.
Trong hướng dẫn này, tôi sẽ giải thích cách định cấu hình 2FA trên máy chủ CentOS 6 của bạn bằng SSH và Google Authenticator.
Bước 1: Cài đặt các gói yêu cầu
Gói "google-Authenticator" tồn tại trong kho lưu trữ mặc định cho CentOS. Chạy lệnh sau với tư cách là người dùng root để cài đặt nó.
yum install pam pam-devel google-authenticator
Bây giờ bạn đã cài đặt ứng dụng này trên máy chủ của mình, bạn sẽ cần cài đặt ứng dụng "Google Authenticator" trên thiết bị di động của mình.
Sau khi bạn cài đặt, hãy để thiết bị di động của bạn có sẵn, bởi vì chúng tôi vẫn cần định cấu hình 2FA.
Bước 2: Cấu hình phần mềm
Đầu tiên, đăng nhập qua SSH với tư cách là người dùng mà bạn muốn bảo mật.
Thực hiện lệnh sau:
google-authenticator
Nhấn "y" ở tin nhắn đầu tiên, nơi nó hỏi bạn có muốn cập nhật ./google_authenticator
tệp không. Khi nó nhắc bạn không cho phép sử dụng nhiều lần, hãy nhấn lại "y" để người dùng khác không thể sử dụng mã của bạn. Đối với các tùy chọn còn lại, nhấn "y", vì tất cả chúng đều cải thiện hiệu quả của phần mềm này.
Tuyệt quá! Hãy chắc chắn rằng bạn sao chép khóa bí mật và mã cào khẩn cấp trên một tờ giấy.
Bây giờ, chúng ta cần cấu hình PAM để sử dụng 2FA.
Đối với bài viết này, tôi sẽ sử dụng nano làm trình soạn thảo văn bản ưa thích. Thực hiện lệnh sau là root.
nano /etc/pam.d/sshd
Thêm dòng sau vào đầu tập tin.
auth required pam_google_authenticator.so
Lưu, sau đó đóng trình chỉnh sửa.
Tiếp theo, định cấu hình trình nền SSH để sử dụng 2FA.
nano /etc/ssh/sshd_config
Tìm dòng tương tự như "ChallengeResponseAuthentication no" và thay đổi "không" thành "có".
Khởi động lại máy chủ SSH:
service sshd restart
Bước 3: Định cấu hình Google Authenticator trên thiết bị di động của bạn
Để cấu hình phần mềm này, chúng ta cần thêm khóa bí mật vào nó. Tìm tùy chọn "nhập thủ công" và nhấn vào đó. Nhập khóa bí mật bạn đã viết trước đó và lưu lại. Một mã bây giờ sẽ bật lên và sẽ làm mới thường xuyên. Bạn sẽ cần điều này để đăng nhập vào máy chủ SSH kể từ bây giờ.
Phần kết luận
Mục đích của xác thực hai yếu tố là cải thiện tính bảo mật của máy chủ của bạn. Vì không ai khác có quyền truy cập vào thiết bị di động của bạn, nên họ sẽ không thể tìm ra mã để đăng nhập vào máy chủ của bạn.
Các phiên bản khác