Αρχική σελίδα » πως να » Πώς να ασφαλίσετε SSH με τον έλεγχο ταυτότητας δύο επαληθευτών του Google Authenticator

    Πώς να ασφαλίσετε SSH με τον έλεγχο ταυτότητας δύο επαληθευτών του Google Authenticator

    Θέλετε να εξασφαλίσετε τον διακομιστή SSH με εύκολο στη χρήση έλεγχο ταυτότητας δύο παραγόντων; Η Google παρέχει το απαραίτητο λογισμικό για να ενσωματώσει το σύστημα TOTP (Time-based One Time Password) του Google Authenticator με το διακομιστή SSH. Θα πρέπει να εισαγάγετε τον κωδικό από το τηλέφωνό σας όταν συνδέεστε.

    Ο Επαληθευτής Google δεν "στέλνει σπίτι στο τηλέφωνο" στο Google - όλες οι εργασίες συμβαίνουν στον διακομιστή SSH και στο τηλέφωνό σας. Στην πραγματικότητα, ο Επαληθευτής Google είναι πλήρως ανοικτού κώδικα, οπότε μπορείτε να εξετάσετε τον πηγαίο κώδικα σας μόνοι σας.

    Εγκαταστήστε τον Επαληθευτή Google

    Για να εφαρμόσετε έλεγχο ταυτότητας πολλών παραγόντων με τον Google Authenticator, θα χρειαστούμε τη λειτουργική μονάδα PAM του Google Authenticator με ανοιχτού κώδικα. Το PAM σημαίνει "pluggable module authentication" - είναι ένας τρόπος για να συνδέσετε εύκολα διαφορετικές μορφές πιστοποίησης σε ένα σύστημα Linux.

    Τα αποθετήρια λογισμικού του Ubuntu περιέχουν ένα πακέτο εύκολης εγκατάστασης για τη λειτουργική μονάδα PAM του Google Authenticator. Εάν η διανομή του Linux δεν περιέχει ένα πακέτο για αυτό, θα πρέπει να το κατεβάσετε από τη σελίδα λήψεων του Επαληθευτή Google στο Google Code και να τον συντάξετε μόνοι σας.

    Για να εγκαταστήσετε το πακέτο στο Ubuntu, εκτελέστε την ακόλουθη εντολή:

    sudo apt-get να εγκαταστήσετε το libpam-google-authenticator

    (Αυτό θα εγκαταστήσει μόνο τη μονάδα PAM στο σύστημά μας - θα πρέπει να την ενεργοποιήσουμε για τη σύνδεση SSH με μη αυτόματο τρόπο).

    Δημιουργήστε ένα κλειδί ελέγχου ταυτότητας

    Συνδεθείτε ως χρήστης που θα συνδεθείτε από απόσταση και εκτελέστε το google-authenticator για να δημιουργήσετε ένα μυστικό κλειδί για αυτόν το χρήστη.

    Αφήστε την εντολή να ενημερώσει το αρχείο του Google Authenticator πληκτρολογώντας y. Στη συνέχεια, θα σας ζητηθούν μερικές ερωτήσεις που θα σας επιτρέψουν να περιορίσετε τις χρήσεις του ίδιου προσωρινού διακριτικού ασφαλείας, να αυξήσετε το χρονικό παράθυρο στο οποίο μπορούν να χρησιμοποιηθούν τα μάρκες και να περιορίσετε τις επιτρεπόμενες προσπάθειες πρόσβασης για να εμποδίσετε τις προσπάθειες ρωγμής της βίαιης δύναμης. Αυτές οι επιλογές όλες εμπορεύονται κάποια ασφάλεια για κάποια ευκολία χρήσης.

    Ο Επαληθευτής Google θα σας παρουσιάσει ένα μυστικό κλειδί και διάφορους "κωδικούς έκτακτης ανάγκης έκτακτης ανάγκης". Καταγράψτε τους κώδικες έκτακτης ανάγκης κάπου ασφαλείς - μπορούν να χρησιμοποιηθούν μόνο μία φορά το καθένα και προορίζονται για χρήση αν χάσετε το τηλέφωνό σας.

    Εισαγάγετε το μυστικό κλειδί στην εφαρμογή Google Authenticator στο τηλέφωνό σας (οι επίσημες εφαρμογές είναι διαθέσιμες για Android, iOS και Blackberry). Μπορείτε επίσης να χρησιμοποιήσετε τη λειτουργία γραμμωτού κώδικα σάρωσης - μεταβείτε στη διεύθυνση URL που βρίσκεται κοντά στην κορυφή της εξόδου της εντολής και μπορείτε να σαρώσετε έναν κώδικα QR με τη φωτογραφική μηχανή του τηλεφώνου σας.

    Τώρα θα έχετε έναν συνεχώς μεταβαλλόμενο κώδικα επαλήθευσης στο τηλέφωνό σας.

    Αν θέλετε να συνδέεστε εξ αποστάσεως ως πολλαπλοί χρήστες, εκτελέστε αυτήν την εντολή για κάθε χρήστη. Κάθε χρήστης θα έχει το δικό του μυστικό κλειδί και τους δικούς του κωδικούς.

    Ενεργοποιήστε τον Επαληθευτή Google

    Στη συνέχεια θα χρειαστεί να απαιτήσετε τον Google Authenticator για τις συνδέσεις SSH. Για να το κάνετε αυτό, ανοίξτε το /etc/pam.d/sshd αρχείο στο σύστημά σας (για παράδειγμα, με το sudo nano /etc/pam.d/sshd εντολή) και προσθέστε την ακόλουθη γραμμή στο αρχείο:

    Το auth απαιτείται pam_google_authenticator.so

    Στη συνέχεια, ανοίξτε το / etc / ssh / sshd_config αρχείο, εντοπίστε το ChallengeResponseAuthentication γραμμή και να την αλλάξετε ως εξής:

    ChallengeResponseAuthentication ναι

    (Εάν το ChallengeResponseAuthentication γραμμή δεν υπάρχει ήδη, προσθέστε την παραπάνω γραμμή στο αρχείο.)

    Τέλος, κάντε επανεκκίνηση του διακομιστή SSH, ώστε οι αλλαγές σας να τεθούν σε ισχύ:

    sudo υπηρεσία ssh επανεκκίνηση

    Θα σας ζητηθεί τόσο ο κωδικός πρόσβασης όσο και ο κωδικός του Google Authenticator κάθε φορά που επιχειρείτε να συνδεθείτε μέσω SSH.