Startpagina » hoe » SSH beveiligen met authenticatie van twee authenticanten van Google Authenticator

    SSH beveiligen met authenticatie van twee authenticanten van Google Authenticator

    Wilt u uw SSH-server beveiligen met gebruiksvriendelijke tweefactorauthenticatie? Google biedt de benodigde software om het tijdgebaseerde eenmalige wachtwoord (TOTP) -systeem van Google Authenticator te integreren met uw SSH-server. Je zult de code van je telefoon moeten invoeren wanneer je verbinding maakt.

    Google Authenticator 'belt niet' naar Google - al het werk gebeurt op uw SSH-server en uw telefoon. In feite is Google Authenticator volledig open-source, dus je kunt zelfs de broncode zelf bekijken.

    Installeer Google Authenticator

    Om multifactor-authenticatie met Google Authenticator te implementeren, hebben we de open-source Google Authenticator PAM-module nodig. PAM staat voor "pluggable authentication module" - het is een manier om eenvoudig verschillende vormen van authenticatie in een Linux-systeem aan te sluiten.

    De softwarebronnen van Ubuntu bevatten een eenvoudig te installeren pakket voor de Google Authenticator PAM-module. Als je Linux-distributie hier geen pakket voor bevat, moet je deze downloaden van de Google Authenticator-downloadpagina op Google Code en deze zelf compileren.

    Om het pakket op Ubuntu te installeren, voert u de volgende opdracht uit:

    sudo apt-get install libpam-google-authenticator

    (Dit installeert alleen de PAM-module op ons systeem - we moeten het handmatig activeren voor SSH-aanmeldingen.)

    Maak een verificatiesleutel

    Log in als de gebruiker waarmee u op afstand wilt inloggen en voer de google-Authenticator opdracht om een ​​geheime sleutel voor die gebruiker te maken.

    Sta het commando toe om uw Google Authenticator-bestand bij te werken door y te typen. Er worden vervolgens verschillende vragen weergegeven waarmee u het gebruik van hetzelfde tijdelijke beveiligingstoken kunt beperken, het tijdvenster kunt vergroten waar tokens voor kunnen worden gebruikt en toegestane toegang tot brute force cracking-pogingen kunt beperken. Deze keuzes verhandelen allemaal wat beveiliging voor wat gebruiksgemak.

    Google Authenticator presenteert u een geheime sleutel en verschillende "nood-krascodes". Noteer de nood-krascodes op een veilige plek. Ze kunnen slechts één keer per keer worden gebruikt en zijn bedoeld voor gebruik als u uw telefoon verliest..

    Voer de geheime sleutel in de Google Authenticator-app op uw telefoon in (officiële apps zijn beschikbaar voor Android, iOS en Blackberry). U kunt ook de scanbarcodefunctie gebruiken - ga naar de URL bovenaan de uitvoer van de opdracht en u kunt een QR-code scannen met de camera van uw telefoon.

    Je hebt nu een voortdurend veranderende verificatiecode op je telefoon.

    Als u zich als meerdere gebruikers op afstand wilt aanmelden, voert u deze opdracht voor elke gebruiker uit. Elke gebruiker heeft zijn eigen geheime sleutel en zijn eigen codes.

    Activeer Google Authenticator

    Vervolgens moet je Google Authenticator voor SSH-aanmeldingen nodig hebben. Open hiervoor de /etc/pam.d/sshd bestand op uw systeem (bijvoorbeeld met de sudo nano /etc/pam.d/sshd commando) en voeg de volgende regel toe aan het bestand:

    auth vereist pam_google_authenticator.so

    Open vervolgens de / Etc / ssh / sshd_config bestand, zoek de ChallengeResponseAuthentication regel en verander deze als volgt:

    UitdagingResponseAuthenticatie Ja

    (Als de ChallengeResponseAuthentication regel bestaat nog niet, voeg de bovenstaande regel toe aan het bestand.)

    Start ten slotte de SSH-server opnieuw, zodat uw wijzigingen van kracht worden:

    sudo service ssh herstarten

    U wordt om zowel uw wachtwoord als Google Authenticator-code gevraagd telkens wanneer u probeert in te loggen via SSH.

    Hoe uw rekeningen te beveiligen met een U2F-sleutel of YubiKey
    Hoe uw Amazon-account te beveiligen
    Hoe Gaim Instant Messenger-verkeer op het werk te beveiligen met SecureCRT en SSH
    Volgend artikel
    Hoe de juiste sollicitant voor de baan te beveiligen
    Vorig artikel
    Sensitive Files op uw pc beveiligen met VeraCrypt