ГлавнаяОперационные системыLinuxКак включить двухфакторную аутентификацию для SSH-соединения

Как включить двухфакторную аутентификацию для SSH-соединения

Сам по себе SSH — это безопасный способ подключения к удаленному компьютеру. Однако, если вы по-прежнему хотите повысить безопасность своего SSH-соединения, вы можете добавить двухфакторную аутентификацию, чтобы при подключении через SSH вам предлагалось ввести случайный код проверки. Ранее мы показали вам как это сделать в различных социальных сетях и покажем здесь, как добавить двухфакторную аутентификацию к вашему SSH-соединению.

Примечание : эта инструкция основана на сервере Ubuntu. Если вы используете другой дистрибутив, некоторые команды могут отличаться.

Установка двухфакторной аутентификации для SSH

Откройте сеанс терминала на компьютере, где вы установите двухфакторную аутентификацию. Введите следующее:

sudo apt install ssh libpam-google-authenticator
Руководство по двухфакторному Ssh 06 Установка программ

Чтобы

Установка двухфакторной аутентификации для SSH

uthenticator

Совет : научитесь используйте SSH X-пересылку для запуска удаленных приложений .

Настройка двухфакторной аутентификации SSH

Вам будет предложено ответить на ряд вопросов. В большинстве ситуаций в качестве ответа вы можете ввести «y» (да). Если настройки неверны, нажмите Ctrl+ C, затем снова введите google-authenticator, чтобы сбросить настройки.

  1. Программа спросит вас, хотите ли вы, чтобы токены аутентификации были основаны на времени. Для этого нажмите Y, затем Enter.

После этого вопроса вы должны увидеть свой секретный ключ и аварийный код. Запишите и сохраните детали. Секретный ключ понадобится вам для настройки приложения Google Authenticator позже.

Руководство по двухфакторному Ssh 01. Запуск аутентификатора
Руководство по двухфакторному Ssh: 11. Генерация секретного ключа

<старый старт="2">

  • Программа спросит вас, хотите ли вы обновить ф

    Настройка двухфакторной аутентификации SSH

    Y, затем Enter.
  • Руководство по двухфакторному Ssh 07. Обновление конфигурации Google Auth
    1. Когда вас спросят, хотите ли вы запретить многократное использование одного и того же токена аутентификации, это ограничит вас только одним входом в систему каждые 30 секунд. Это может быть полезно, если вы хотите быть уверенным, что только одно активное соединение может использовать токен аутентификации в любой момент времени.
    Руководство по двухфакторному Ssh 08 Toggle Многократное использование токена аутентификации
    1. По умолчанию токены аутентификации действительны только в течение 30 секунд. Чтобы компенсировать возможную разницу во времени между клиентом и сервером, увеличьте размер окна с размера по умолчанию в 1-1/2 минуты примерно до 4. Это может быть полезно в тех случаях, когда часы вашего локального компьютера или удаленного сервера работают неправильно. синхронизировано.
    Руководство по двухфакторному Ssh 09. Продление лимита времени
    1. Включить ограничение скорости для модуля аутентификации. Этот параметр ограничивает злоумышленников не более чем тремя попытками входа в систему каждые 30 секунд.
    Руководство по двухфакторному Ssh 10. Включение ограничения скорости

    Настройте SSH для использования Google Authenticator

    1. Откройте файл «/etc/pam.d/sshd»:
    sudo nano /etc/pam.d/sshd
    Руководство по двухфакторному Ssh 02. Откройте конфигурацию Pam
    1. Добавьте эту строку в начало файла:
    auth       required     pam_google_authenticator.so
    Руководство по двухфакторному Ssh 03. Обновление конфигурации Pam
    1. Нажмите Ctrl+ Oи Ctrl+ X, чтобы сохранить файл и выйти из него.
    1. Откройте файл «/etc/ssh/sshd_config»:
    sudo nano /etc/ssh/sshd_config
    1. Прокрутите файл до конца и введите следующую строку:
    ChallengeResponseAuthentication yes
    Руководство по двухфакторному Ssh 04 Изменение конфигурации Sshd
    1. Сохраните и закройте файл.
    1. Перезапустите ssh-сервер:
    sudo systemctl restart ssh
    Руководство по двухфакторному Ssh 05. Перезапустите демон Ssh

    Настройка ключа в Google Authenticator

    1. Откройте приложение Google Authenticator (или одно из его альтернативы ) на своем смартфоне (или Рабочий стол ). Нажмите значок «Плюс» в левом нижнем углу приложения и выберите «Ввести ключ настройки».
    Руководство по двухфакторному Ssh: 12 ссылок на новый ключ
    1. Укажите имя для вашего приложения для аутентификации.
    Настройте SSH для использования Google Authenticatorsh 13. Создание нового имени для аутентификации">
    1. Введите секретный ключ, который вы сгенерировали ранее, и нажмите «Добавить».
    Руководство по двухфакторному Ssh 14. Добавление нового ключа

    При подключении по SSH к удаленному компьютеру вы увидите запрос ключа проверки.

    Руководство по двухфакторному Ssh: 15. Пример двухфакторного входа в систему

    Примечание. Двухфакторная аутентификация работает только для входа в систему с помощью пароля. Если вам уже использование открытого/закрытого ключа для вашего сеанса SSH , двухфакторная аутентификация обойдется и вы войдете в систему напрямую. Также обратите внимание на больше способов защитить ваш SSH-сервер .

    Часто задаваемые вопросы

    Я использую Yubikey. Могу ли я по-прежнему использовать двухфакторную аутентификацию в SSH?

    Нет. Модуль аутентификации Google работает только со стандартным паролем SSH. Подобно настройке открытого ключа SSH, этот конкретный модуль невозможно использовать с другие внешние двухфакторные решения , например Yubikey.

    Можно ли использовать тот же ключ аутентификации на другом телефоне?

    Да. Вы можете легко использовать другой телефон с Google Authenticator, если у вас есть секретный ключ или его QR-код. Однако вам необходимо убедиться, что вы полностью

    Настройка ключа в Google Authenticator

    устройстве, прежде чем импортировать его на новое, поскольку любой злоумышленник, получивший доступ к предыдущему устройству, сможет обойти вашу двухфакторную проверку.

    Можете ли вы использовать другое приложение для двухфакторной аутентификации с SSH?

    Да. Хотя разработчики модуля libpam специально разработали его для работы с Google Authenticator, вы все равно можете использовать его с другими приложениями аутентификации, поскольку формат двухфакторного секретного ключа часто одинаков в разных реализациях.

    Изображение предоставлено: Unsplash. Все изменения и скриншоты Рамсеса Реда.

    Часто задаваемые вопросы

    Я использую Yubikey. Могу ли я по-прежнему использовать двухфакторную аутентификацию в SSH?

    Можно ли использовать тот же ключ аутентификации на другом телефоне?

    Можете ли вы использовать другое приложение для двухфакторной аутентификации с SSH?

    ПОХОЖИЕ СТАТЬИ

    Популярные записи