Tento tutoriál vám ukáže, jak nastavit dvoufaktorové ověřování SSH na serveru Ubuntu 16.04 pomocí známého Google Authenticatoru. Jakmile jej nastavíte, zabezpečení vašeho serveru SSH se výrazně zvýší.
Jak Google Authenticator funguje
Dvoufaktorová autentizace, známá také jako dvoufázové ověření, vyžaduje zadání dvou údajů, abyste se mohli přihlásit. Google Authenticator vygeneruje jednorázové heslo pomocí sdíleného tajného klíče a aktuálního času. Nejen, že musíte zadat správné uživatelské jméno a heslo, ale také musíte zadat jednorázové heslo vygenerované aplikací Google Authenticator pro přihlášení k vašemu serveru SSH.
Krok 1:Instalace a konfigurace aplikace Google Authenticator na serveru Ubuntu 16.04
Přihlaste se na svůj server Ubuntu a spusťte následující příkaz k instalaci aplikace Google Authenticator z výchozího úložiště balíčků Ubuntu.
sudo apt install libpam-google-authenticator
Poté spusťte google-authenticator příkaz k vytvoření nového tajného klíče ve vašem domovském adresáři.
google-authenticator
Na otázku „Chcete, aby byly ověřovací tokeny založené na čase?“ Odpovězte y . Poté se vám zobrazí QR kód, který můžete naskenovat pomocí Google Authenticator mobilní aplikace.
Nainstalujte si do mobilního telefonu aplikaci Google Authenticator přes Google Play nebo Apple App Store a naskenujte QR kód. QR kód představuje tajný klíč, který zná pouze váš server SSH a vaše aplikace Google Authenticator. Po naskenování QR kódu uvidíte na svém telefonu šestimístné jednorázové heslo. Ve výchozím nastavení trvá 30 sekund.
V okně terminálu můžete vidět tajný klíč, ověřovací kód a nouzový stírací kód. Doporučuje se uložit tyto informace na bezpečné místo pro pozdější použití.
Poté můžete zadat y odpovědět na všechny zbývající otázky. Tím se aktualizuje konfigurační soubor aplikace Google Authenticator, zakáže se více použití stejného ověřovacího tokenu, prodlouží se časové okno a povolí se omezení rychlosti pro ochranu před pokusy o přihlášení hrubou silou.
Krok 2:Konfigurace démona SSH pro použití aplikace Google Authenticator
Otevřete konfigurační soubor serveru SSH.
sudo nano /etc/ssh/sshd_config
PAM je zkratka pro zásuvný autentizační modul. Poskytuje snadný způsob, jak zapojit různé metody ověřování do vašeho systému Linux. Chcete-li aktivovat Google Authenticator s SSH, musí být povoleno ověřování PAM a Challenge-Response. Najděte tedy v souboru následující dva řádky a ujistěte se, že jsou oba nastaveny na ano .
UsePAM yes ChallengeResponseAuthentication yes
Uložte a zavřete soubor. Poté restartujte démona SSH.
sudo systemctl restart ssh
Dále upravte soubor pravidel PAM pro démona SSH.
sudo nano /etc/pam.d/sshd
Na konec souboru přidejte následující položku.
auth required pam_google_authenticator.so
Uložte a zavřete soubor. Od této chvíle bude démon SSH používat Google Authenticator.
Krok 3:Otestujte své dvoufaktorové ověření SSH
Nyní otevřete samostatné okno terminálu a zkuste se přihlásit na svůj SSH server. Nezavírejte aktuální relaci SSH. Pokud se něco pokazí, můžete to opravit ve své aktuální relaci SSH. Pokud je vše správně nastaveno, budete požádáni o zadání uživatelského i jednorázového hesla.
Pamatujte také, že každý uživatel na vašem serveru Ubuntu 16.04 musí spustit google-authenticator příkaz a naskenujte QR kód, abyste mohli použít dvoufaktorové ověření.
Nouzový stírací kód
Nouzový stírací kód je váš záložní kód. Pokud ztratíte telefon, můžete místo jednorázového hesla zadat jeden z pěti nouzových stíracích kódů a dokončit dvoufázové ověření. Upozorňujeme, že tyto kódy jsou pouze pro jednorázové použití.
Použití druhého telefonu
Pokud máte druhý telefon, můžete si do druhého telefonu nainstalovat aplikaci Google Authenticator a ručně zadat tajný klíč. Je to stejné jako skenování QR kódu.
Pokud chcete změnit tajný klíč, jednoduše se přihlaste na svůj server a spusťte google-authenticator dalším příkazem aktualizujte ~/.google_authenticator soubor.
Synchronizace času
Protože se jednorázové heslo vypočítává pomocí sdíleného tajného klíče a aktuálního času, je dobré povolit synchronizaci času NTP na vašem serveru Ubuntu 16.04.
Doufám, že vám tento tutoriál pomohl nastavit dvoufaktorové ověřování SSH na serveru Ubuntu 16.04. Jako vždy, pokud pro vás byl tento příspěvek užitečný, přihlaste se k odběru našeho bezplatného zpravodaje.