GNU/Linux >> Znalost Linux >  >> Panels >> Panels

Nastavte vícefaktorové ověřování pro SSH na Ubuntu 20.04

SSH je „Secure Shell Protocol“ používaný k bezpečnému připojení a správě vzdálených linuxových systémů přes nezabezpečenou síť. Pro systémové administrátory je velmi užitečné provádět každodenní úkoly na vzdáleném serveru. Zabezpečení SSH serveru je tedy nezbytnou součástí každého správce systému.

Ve výchozím nastavení se můžete k SSH připojit pomocí hesla nebo pomocí soukromého klíče. To znamená, že se jedná pouze o jednofaktorovou autentizaci. Je tedy dobré implementovat vícefaktorovou autentizaci na serveru SSH, abyste přidali další vrstvu zabezpečení. Při vícefaktorové autentizaci budete muset zadat své systémové uživatelské heslo a další heslo vygenerované na mobilním zařízení. To výrazně zvýší zabezpečení vašeho serveru.

V tomto tutoriálu vám ukážeme, jak nastavit vícefaktorové ověřování pro SSH na Ubuntu 20.04 VPS.

Předpoklady

  • Ubuntu 20.04 VPS (budeme používat náš plán SSD 2 VPS)
  • Přístup k uživatelskému účtu root (nebo přístup k účtu správce s oprávněními root)

Krok 1:Přihlaste se k serveru a aktualizujte balíčky operačního systému serveru

Nejprve se přihlaste ke svému serveru Ubuntu 20.04 přes SSH jako uživatel root:

ssh root@IP_Address -p Port_number

„IP_Address“ a „Port_number“ budete muset nahradit příslušnou IP adresou vašeho serveru a číslem portu SSH. V případě potřeby navíc nahraďte „root“ uživatelským jménem účtu správce.

Před spuštěním se musíte ujistit, že všechny balíčky Ubuntu OS nainstalované na serveru jsou aktuální. Můžete to provést spuštěním následujících příkazů:

apt-get update -yapt-get upgrade -y

Krok 2:Instalace aplikace Google Authenticator

Pro vícefaktorovou autentizaci použijeme Google Authenticator. Budete tedy muset do svého systému nainstalovat modul Google Authenticator PAM. Můžete jej nainstalovat spuštěním následujícího příkazu:

apt-get install libpam-google-authenticator -y

Po instalaci balíčku spusťte Google Authenticator pomocí následujícího příkazu:

google-authenticator

Během instalace budete dotázáni na následující otázku:

Chcete, aby byly autentizační tokeny založené na čase (y/n) yUpozornění:vložení následující adresy URL do prohlížeče odhalí tajemství jednorázového hesla pro Google:https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@ubuntu2004%3Fsecret%3D4XXQ2QA6FRV72SDM2JWSZTQJE4%26issuer%3D

Stiskněte y a stiskněte Enter pokračovat. Na následující obrazovce byste měli vidět QR kód:

Odpovězte na všechny otázky a stiskněte Enter dokončete proces, jak je uvedeno níže:

Chcete zakázat více použití stejného autentizačního tokenu? To vás omezuje na jedno přihlášení přibližně každých 30 s, ale zvyšuje to vaše šance zaznamenat nebo dokonce zabránit útokům typu man-in-the-middle (y/n) yVe výchozím nastavení mobilní aplikace generuje nový token každých 30 sekund. pro kompenzaci možného časového posunu mezi klientem a serverem povolujeme další token před a po aktuálním čase. To umožňuje časový posun až 30 sekund mezi autentizačním serverem a klientem. Pokud máte problémy se špatnou synchronizací času, můžete zvětšit okno z výchozí velikosti 3 povolených kódů (jeden předchozí kód, aktuální kód, následující kód) na 17 povolených kódů (8 předchozích kódů, aktuální kód a 8 následujících kódů). ). To umožní časové zkreslení až 4 minuty mezi klientem a serverem. Chcete to udělat? (y/n) yPokud počítač, do kterého se přihlašujete, není odolný proti pokusům o přihlášení hrubou silou, můžete povolit omezení rychlosti pro modul ověřování. Ve výchozím nastavení to omezuje útočníky na maximálně 3 pokusy o přihlášení každých 30 sekund. Chcete povolit omezení rychlosti? (y/n) Pokud počítač, do kterého se přihlašujete, není chráněn proti pokusům o přihlášení hrubou silou, můžete povolit omezení rychlosti pro ověřovací modul. Ve výchozím nastavení to omezuje útočníky na maximálně 3 pokusy o přihlášení každých 30 sekund. Chcete povolit omezení rychlosti? (y/n) y

Krok 3:Instalace aplikace Google Authenticator

Dále budete muset do smartphonu nainstalovat aplikaci Google Authenticator. Po instalaci otevřete Google Authenticator na svém mobilu a naskenujte výše uvedený QR kód. Po naskenování QR kódu byste měli v telefonu vidět šestimístné jednorázové heslo, jak je znázorněno níže:

Platnost tohoto hesla vyprší do 30 sekund, takže budete muset otevřít aplikaci Google Authenticator a zobrazit nové heslo, abyste se mohli přihlásit k serveru Ubuntu přes SSH.

Ve výše uvedeném výstupu můžete také vidět tajný klíč, ověřovací kód a nouzový stírací kód. Doporučujeme jej uložit na bezpečné místo pro pozdější použití.

Váš nový tajný klíč je:4XXQ2QA6FRV72SDM2JWSZTQJE4Váš ověřovací kód je 423832Vaše nouzové stírací kódy jsou:96469497 84504151 61871048 79931657 71052210

 
Krok 4:Nakonfigurujte SSH pro použití Google Authenticator
 

 Dále budete také muset nakonfigurovat SSH pro použití Google Authenticator. Můžete jej nakonfigurovat úpravou souboru /etc/ssh/sshd_config:
 
nano /etc/ssh/sshd_config
 

 Změňte následující řádky:
 
Použít PAM yesChallengeResponseAuthentication ano
 

 Po dokončení uložte a zavřete soubor. Poté restartujte službu SSH, abyste použili konfiguraci:
 
systemctl restart sshd
 

 Dále budete muset upravit soubor /etc/pam.d/sshd a definovat pravidla PAM pro službu SSH:
 
nano /etc/pam.d/sshd
 

 Za @include common-auth přidejte následující řádek :
 
vyžadováno ověření pam_google_authenticator.so
 

 Uložte a zavřete soubor.
 
Krok:5 Test dvoufaktorového ověření
 

 V tomto okamžiku je váš server SSH nyní nakonfigurován s vícefaktorovou autentizací. Je čas jej připojit a otestovat.
 

 Na vzdáleném systému otevřete svůj terminál a přihlaste se k serveru přes SSH, jak je znázorněno níže:
 
ssh root@ssh-server-ip
 

 Budete požádáni o zadání systémového hesla a ověřovacího kódu vygenerovaného aplikací Google Authenticator. Zadejte své systémové heslo zobrazené v aplikaci Google Authenticator a stiskněte Enter pro přihlášení k serveru, jak je uvedeno níže:
 

 Gratulujeme! váš server SSH je nyní zabezpečen pomocí vícefaktorové autentizace..
 

 Samozřejmě nemusíte nastavovat vícefaktorové ověřování pro SSH na Ubuntu VPS, pokud používáte některou z našich služeb Managed Hosting, v takovém případě můžete jednoduše požádat naše zkušené administrátory Linuxu, aby nastavili vícefaktorové ověřování pro SSH. na Ubuntu, pro vás. Jsou k dispozici 24×7 a okamžitě se postarají o váš požadavek.
 

 PS. Pokud se vám líbil tento příspěvek o tom, jak nastavit vícefaktorové ověřování pro SSH na Ubuntu, sdílejte jej se svými přáteli na sociálních sítích pomocí tlačítek vlevo nebo jednoduše zanechte odpověď níže. Děkuji.
Panels

  1. Jednoduchý BASH skript pro instalaci serveru Ubuntu

  2. Jak nastavit TeamSpeak Server na Ubuntu 16.04

  3. Zabezpečte SSH pomocí dvoufaktorové autentizace na Ubuntu 16.04

  1. Jak nastavit WireGuard na Ubuntu 22.04

  2. Jak nainstalovat a nastavit sftp server v Ubuntu 20.04

  3. Jak nastavit klíče SSH na Ubuntu 16.04

  1. Jak vygenerovat klíče SSH na Ubuntu 18.04

  2. Server Ubuntu 20.04 SSH

  3. Server Ubuntu pro figuríny