Startpagina » hoe » SSH beveiligen met authenticatie van twee authenticanten van Google Authenticator

    SSH beveiligen met authenticatie van twee authenticanten van Google Authenticator

    Wilt u uw SSH-server beveiligen met gebruiksvriendelijke tweefactorauthenticatie? Google biedt de benodigde software om het tijdgebaseerde eenmalige wachtwoord (TOTP) -systeem van Google Authenticator te integreren met uw SSH-server. Je zult de code van je telefoon moeten invoeren wanneer je verbinding maakt.

    Google Authenticator 'belt niet' naar Google - al het werk gebeurt op uw SSH-server en uw telefoon. In feite is Google Authenticator volledig open-source, dus je kunt zelfs de broncode zelf bekijken.

    Installeer Google Authenticator

    Om multifactor-authenticatie met Google Authenticator te implementeren, hebben we de open-source Google Authenticator PAM-module nodig. PAM staat voor "pluggable authentication module" - het is een manier om eenvoudig verschillende vormen van authenticatie in een Linux-systeem aan te sluiten.

    De softwarebronnen van Ubuntu bevatten een eenvoudig te installeren pakket voor de Google Authenticator PAM-module. Als je Linux-distributie hier geen pakket voor bevat, moet je deze downloaden van de Google Authenticator-downloadpagina op Google Code en deze zelf compileren.

    Om het pakket op Ubuntu te installeren, voert u de volgende opdracht uit:

    sudo apt-get install libpam-google-authenticator

    (Dit installeert alleen de PAM-module op ons systeem - we moeten het handmatig activeren voor SSH-aanmeldingen.)

    Maak een verificatiesleutel

    Log in als de gebruiker waarmee u op afstand wilt inloggen en voer de google-Authenticator opdracht om een ​​geheime sleutel voor die gebruiker te maken.

    Sta het commando toe om uw Google Authenticator-bestand bij te werken door y te typen. Er worden vervolgens verschillende vragen weergegeven waarmee u het gebruik van hetzelfde tijdelijke beveiligingstoken kunt beperken, het tijdvenster kunt vergroten waar tokens voor kunnen worden gebruikt en toegestane toegang tot brute force cracking-pogingen kunt beperken. Deze keuzes verhandelen allemaal wat beveiliging voor wat gebruiksgemak.

    Google Authenticator presenteert u een geheime sleutel en verschillende "nood-krascodes". Noteer de nood-krascodes op een veilige plek. Ze kunnen slechts één keer per keer worden gebruikt en zijn bedoeld voor gebruik als u uw telefoon verliest..

    Voer de geheime sleutel in de Google Authenticator-app op uw telefoon in (officiële apps zijn beschikbaar voor Android, iOS en Blackberry). U kunt ook de scanbarcodefunctie gebruiken - ga naar de URL bovenaan de uitvoer van de opdracht en u kunt een QR-code scannen met de camera van uw telefoon.

    Je hebt nu een voortdurend veranderende verificatiecode op je telefoon.

    Als u zich als meerdere gebruikers op afstand wilt aanmelden, voert u deze opdracht voor elke gebruiker uit. Elke gebruiker heeft zijn eigen geheime sleutel en zijn eigen codes.

    Activeer Google Authenticator

    Vervolgens moet je Google Authenticator voor SSH-aanmeldingen nodig hebben. Open hiervoor de /etc/pam.d/sshd bestand op uw systeem (bijvoorbeeld met de sudo nano /etc/pam.d/sshd commando) en voeg de volgende regel toe aan het bestand:

    auth vereist pam_google_authenticator.so

    Open vervolgens de / Etc / ssh / sshd_config bestand, zoek de ChallengeResponseAuthentication regel en verander deze als volgt:

    UitdagingResponseAuthenticatie Ja

    (Als de ChallengeResponseAuthentication regel bestaat nog niet, voeg de bovenstaande regel toe aan het bestand.)

    Start ten slotte de SSH-server opnieuw, zodat uw wijzigingen van kracht worden:

    sudo service ssh herstarten

    U wordt om zowel uw wachtwoord als Google Authenticator-code gevraagd telkens wanneer u probeert in te loggen via SSH.