Vēlaties, lai nodrošinātu SSH serveri ar viegli lietojamu divu faktoru autentifikāciju? Google nodrošina nepieciešamo programmatūru, lai integrētu Google Authenticator laika bāzes vienreizējās paroles (TOTP) sistēmu ar jūsu SSH serveri. Pievienojot, jums būs jāievada kods no tālruņa.
Google autentifikators Google "nestrādā mājās" - viss darbs notiek jūsu SSH serverī un tālrunī. Patiesībā Google autentifikators ir pilnīgi atvērtā koda avots, tādēļ varat pat pašam izpētīt tā pirmkodu.
Lai ieviestu multifaktoru autentifikāciju, izmantojot Google autentifikatoru, mums būs nepieciešams atvērtā koda Google autentifikatora PAM modulis. PAM apzīmē "plug-in autentifikācijas moduli" - tas ir veids, kā viegli pieslēgt dažādas autentifikācijas formas Linux sistēmai.
Ubuntu programmatūras krātuvēs ir viegli instalējams pakete Google autentifikatora PAM modulim. Ja jūsu Linux izplatīšana nesatur pakotni, to lejupielādēsit no Google Authenticator lejupielādes lapas vietnē Google Code un izveidojiet to pats.
Lai instalētu pakotni Ubuntu, izpildiet šādu komandu:
sudo apt-get instal libpam-google-autentifikators
(Tas mūsu sistēmā instalēs tikai PAM moduli - mums būs jāaktivizē tas SSH logins manuāli.)
Piesakieties kā lietotājs, ar kuru jūs ieejat ar attālu, un palaidiet google autentifikators komandu izveidot slepeno atslēgu šim lietotājam.
Ļaujiet komandai atjaunināt jūsu Google autentifikatora failu, ierakstot y. Tad jums tiks piedāvāts ar vairākiem jautājumiem, kas ļaus jums ierobežot tā paša pagaidu drošības simbola lietošanu, palielināt laika periodu, kurā var izmantot žetonus, un ierobežot atļautās piekļuves mēģinājumus kavēt brutālu spēku plaisāšanas mēģinājumus. Šīs izvēles rūpējas par nelielu drošību dažiem lietošanas vienkāršiem lietojumiem.
Google autentifikators parādīs jums slepeno atslēgu un vairākus avārijas skrāpējumu kodus. Uzrakstiet avārijas skrāpējumu kodus kaut kur droši - tos var izmantot tikai vienu reizi, un tie ir paredzēti izmantošanai, ja pazaudējat savu tālruni.
Tālrunī ievadiet lietotnē Google Authenticator slepeno atslēgu (oficiālās lietotnes ir pieejamas operētājsistēmai Android, iOS un Blackberry). Varat arī izmantot skenēšanas svītru koda funkciju - atveriet URL, kas atrodas komandas izvades augšdaļā, un varat skenēt QR kodu ar tālruņa kameru.
Tagad tālrunī jums būs pastāvīgi mainīgs verifikācijas kods.
Ja vēlaties attālināti pieteikties kā vairāki lietotāji, palaidiet šo komandu katram lietotājam. Katram lietotājam būs sava slepenā atslēga un viņu pašu kodi.
Tālāk jums būs jāprasa Google autentifikators SSH pieteikumvārdiem. Lai to izdarītu, atveriet /etc/pam.d/sshd failu savā sistēmā (piemēram, ar sudo nano /etc/pam.d/sshd komandu) un pievienojiet failam šādu rindu:
auth vajadzīgs pam_google_authenticator.so
Tālāk atveriet / etc / ssh / sshd_config failu, atrodiet ChallengeResponseAuthentication rindu un izlasiet to šādi:
ChallengeResponseAuthentication jā
(Ja ChallengeResponseAuthentication line vēl neeksistē, pievienojiet failam iepriekš norādīto rindiņu.)
Visbeidzot, restartējiet SSH serveri, lai izmaiņas stātos spēkā:
sudo serviss ssh restart
Kad jūs mēģināt pieteikties, izmantojot SSH, jums tiks piedāvāts ievadīt gan paroli, gan Google autentifikāta kodu.
