Trang chủ » làm thế nào để » Cách bảo mật SSH với Xác thực hai yếu tố của Google Authenticator

    Cách bảo mật SSH với Xác thực hai yếu tố của Google Authenticator

    Bạn muốn bảo mật máy chủ SSH của mình bằng xác thực hai yếu tố dễ sử dụng? Google cung cấp phần mềm cần thiết để tích hợp hệ thống mật khẩu một lần (TOTP) dựa trên thời gian của Google Authenticator với máy chủ SSH của bạn. Bạn sẽ phải nhập mã từ điện thoại của mình khi kết nối.

    Google Authenticator không có điện thoại tại nhà của Google với Google - tất cả công việc diễn ra trên máy chủ SSH và điện thoại của bạn. Trên thực tế, Google Authenticator hoàn toàn là nguồn mở, do đó bạn thậm chí có thể tự kiểm tra mã nguồn của nó.

    Cài đặt Google Authenticator

    Để triển khai xác thực đa yếu tố với Google Authenticator, chúng tôi sẽ cần mô-đun PAM Google Authenticator nguồn mở. PAM là viết tắt của mô-đun xác thực có thể cắm được trên mạng - Đây là cách để dễ dàng cắm các hình thức xác thực khác nhau vào hệ thống Linux.

    Các kho phần mềm của Ubuntu chứa gói dễ cài đặt cho mô-đun PAM của Google Authenticator. Nếu bản phân phối Linux của bạn không chứa gói này, bạn sẽ phải tải xuống từ trang tải xuống Google Authenticator trên Google Code và tự biên dịch nó.

    Để cài đặt gói trên Ubuntu, hãy chạy lệnh sau:

    sudo apt-get cài đặt libpam-google-Authenticator

    (Điều này sẽ chỉ cài đặt mô-đun PAM trên hệ thống của chúng tôi - chúng tôi sẽ phải kích hoạt nó để đăng nhập SSH theo cách thủ công.)

    Tạo khóa xác thực

    Đăng nhập với tư cách là người dùng bạn sẽ đăng nhập bằng từ xa và chạy google xác thực lệnh tạo khóa bí mật cho người dùng đó.

    Cho phép lệnh cập nhật tệp Google Authenticator của bạn bằng cách nhập y. Sau đó, bạn sẽ được nhắc nhở với một số câu hỏi cho phép bạn hạn chế sử dụng cùng một mã thông báo bảo mật tạm thời, tăng cửa sổ thời gian mà mã thông báo có thể được sử dụng và hạn chế các nỗ lực cho phép để cản trở các nỗ lực bẻ khóa. Tất cả các lựa chọn này đều trao đổi một số bảo mật để dễ sử dụng.

    Google Authenticator sẽ cung cấp cho bạn một khóa bí mật và một số mã cào khẩn cấp khẩn cấp. Hãy viết mã số cào khẩn cấp ở một nơi an toàn - chúng chỉ có thể được sử dụng một lần cho mỗi lần và chúng được sử dụng nếu bạn mất điện thoại.

    Nhập khóa bí mật trong ứng dụng Google Authenticator trên điện thoại của bạn (các ứng dụng chính thức có sẵn cho Android, iOS và Blackberry). Bạn cũng có thể sử dụng tính năng quét mã vạch - truy cập URL nằm gần đầu ra của lệnh và bạn có thể quét mã QR bằng máy ảnh điện thoại của mình.

    Bây giờ bạn sẽ có mã xác minh liên tục thay đổi trên điện thoại của mình.

    Nếu bạn muốn đăng nhập từ xa dưới dạng nhiều người dùng, hãy chạy lệnh này cho mỗi người dùng. Mỗi người dùng sẽ có khóa bí mật riêng và mã riêng.

    Kích hoạt Google Authenticator

    Tiếp theo, bạn sẽ phải yêu cầu Google Authenticator cho đăng nhập SSH. Để làm như vậy, mở /etc/pam.d/sshd tập tin trên hệ thống của bạn (ví dụ: với sudo nano /etc/pam.d/sshd lệnh) và thêm dòng sau vào tệp:

    auth yêu cầu pam_google_authenticator.so

    Tiếp theo, mở / etc / ssh / sshd_config tập tin, xác định vị trí Thử thách phản hồi và thay đổi nó để đọc như sau:

    Thử thách Phản hồi Có

    (Nếu Thử thách phản hồi dòng không tồn tại, thêm dòng trên vào tệp.)

    Cuối cùng, khởi động lại máy chủ SSH để các thay đổi của bạn có hiệu lực:

    sudo dịch vụ ssh khởi động lại

    Bạn sẽ được nhắc nhập cả mật khẩu và mã Google Authenticator bất cứ khi nào bạn cố gắng đăng nhập qua SSH.