Postupem času se tradiční ověřování uživatelských jmen a hesel ukázalo jako nedostatečné při poskytování robustního zabezpečení aplikací a systémů. Uživatelská jména a hesla lze snadno prolomit pomocí nepřeberného množství hackerských nástrojů, takže váš systém zůstane zranitelný vůči narušení. Z tohoto důvodu musí každá společnost nebo subjekt, který bere zabezpečení vážně, implementovat dvoufaktorové ověřování .
Hovorově známé jako MFA (Multi-Factor Authentication ), dvoufaktorové ověřování poskytuje další vrstvu zabezpečení, která vyžaduje, aby uživatelé poskytli určité podrobnosti, jako jsou kódy nebo jednorázové heslo (Jednorázové heslo ) před nebo po ověření pomocí obvyklého uživatelského jména a hesla.
V současné době existuje několik společností, jako je Google , Facebook , Twitter a AWS , abychom zmínili několik, poskytují uživatelům možnost nastavení MFA k další ochraně jejich účtů.
V této příručce vám ukážeme, jak můžete použít Dvoufaktorové ověření s Ubuntu .
Krok 1:Nainstalujte balíček PAM společnosti Google
Nejprve si nainstalujte Google PAM balík. PAM , což je zkratka pro Pluggable Authentication Module , je mechanismus, který poskytuje další vrstvu ověřování na platformě Linux.
Balíček je hostován na Ubuntu úložiště, takže pokračujte a pomocí příkazu apt jej nainstalujte následovně:
$ sudo apt install libpam-google-authenticator
Po zobrazení výzvy stiskněte 'Y' a stiskněte ENTER pokračovat v instalaci.
Krok 2:Nainstalujte si do smartphonu aplikaci Google Authenticator
Kromě toho je třeba do tabletu nainstalovat aplikaci Google Authenticator nebo chytrý telefon . Aplikace vám nabídne 6místné OTP kód, který se automaticky obnovuje každých 30 sekund.
Krok 3:Nakonfigurujte Google PAM v Ubuntu
Pomocí aplikace Google Authenticator aplikace, budeme pokračovat a nakonfigurujeme balíček Google PAM na Ubuntu úpravou souboru /etc/pam.d/common-auth soubor podle obrázku.
$ sudo vim /etc/pam.d/common-auth
Připojte níže uvedený řádek k souboru, jak je uvedeno.
auth required pam_google_authenticator.so
Uložte soubor a ukončete.
Nyní spusťte níže uvedený příkaz a inicializujte PAM .
$ google-authenticator
To vyvolá na obrazovce vašeho terminálu několik otázek. Nejprve budete dotázáni, zda chcete, aby byly autentizační tokeny založené na čase.
Ověřování na základě času platnost tokenů vyprší po určité době. Ve výchozím nastavení je to po 30 sekund, po kterých se vygeneruje nová sada tokenů. Tyto tokeny jsou považovány za bezpečnější než tokeny, které nejsou založeny na čase, a proto zadejte 'y' pro ano a stiskněte ENTER .
Dále QR kód se zobrazí na terminálu, jak je znázorněno níže, a vpravo pod ním se zobrazí některé informace. Zobrazené informace zahrnují:
- Tajný klíč
- Ověřovací kód
- Nouzové stírací kódy
Tyto informace musíte uložit do trezoru pro budoucí použití. Nouzové stírací kódy jsou velmi užitečné v případě ztráty ověřovacího zařízení. Pokud by se vašemu ověřovacímu zařízení něco stalo, použijte kódy.
Spusťte Google Authenticator V aplikaci na chytrém zařízení vyberte možnost Naskenovat QR kód “ a naskenujte předložený QR kód.
POZNÁMKA :Chcete-li naskenovat celý QR kód, musíte maximalizovat okno terminálu. Po naskenování QR kódu se v aplikaci zobrazí šestimístné OTP, které se mění každých 30 sekund.
Poté vyberte 'y' aktualizujte soubor ověřování Google ve vaší domovské složce.
V další výzvě omezte přihlášení pouze na jedno přihlášení každých 30 sekund, aby se zabránilo útokům, které by mohly vzniknout v důsledku útoků typu man-in-the-middle. Vyberte tedy 'y'
V další výzvě vyberte 'n' zakázat prodloužení doby trvání, která řeší časové zkreslení mezi serverem a klientem. Toto je bezpečnější možnost, pokud nemáte problémy se špatnou synchronizací času.
A nakonec povolte omezení rychlosti pouze na 3 pokusy o přihlášení.
V tuto chvíli jsme dokončili implementaci dvoufaktorové autentizace Vlastnosti. Ve skutečnosti, pokud spustíte jakýkoli příkaz sudo, budete vyzváni k zadání ověřovacího kódu, který můžete získat z aplikace Google Authenticator .
Toto můžete dále ověřit restartováním a jakmile se dostanete na přihlašovací obrazovku, budete požádáni o zadání ověřovacího kódu.
Po poskytnutí kódu z Google Authenticator stačí zadat heslo pro přístup k vašemu systému.
Krok 4:Integrujte SSH s Google Authenticator
Pokud máte v úmyslu použít SSH pomocí Google PAM modul, musíte oba integrovat. Toho můžete dosáhnout dvěma způsoby.
Pro ověření hesla SSH
Chcete-li povolit SSH ověření hesla pro běžného uživatele, nejprve otevřete výchozí SSH konfigurační soubor.
$ sudo vim /etc/ssh/sshd_config
A nastavte následující atributy na ‘ano‘ jak je znázorněno
Pro uživatele root nastavte ‘PermitRootLogin ‘ atribut k 'yes' .
PermitRootLogin yes
Uložte soubor a ukončete.
Dále upravte PAM pravidlo pro SSH
$ sudo vim /etc/pam.d/sshd
Poté připojte následující řádek
auth required pam_google_authenticator.so
Nakonec restartujte SSH aby změny vstoupily v platnost.
$ sudo systemctl restart ssh
V níže uvedeném příkladu se přihlašujeme do Ubuntu systému z klienta Putty.
Pro ověřování pomocí veřejného klíče SSH
Pokud používáte ověření pomocí veřejného klíče , opakujte výše uvedené kroky a přidejte řádek zobrazený ve spodní části /etc/ssh/sshd_config soubor.
AuthenticationMethods publickey,keyboard-interactive
Ještě jednou upravte PAM pravidlo pro SSH démon.
$ sudo vim /etc/pam.d/sshd
Poté přidejte následující řádek.
auth required pam_google_authenticator.so
Uložte soubor a restartujte službu SSH, jak jsme viděli dříve.
$ sudo systemctl restart ssh
A tím se dostáváme na konec tohoto článku. Budeme rádi, když se dozvíme, jak to dopadlo.