Želite li osigurati svoj SSH poslužitelj pomoću jednostavne autentifikacije s dva faktora? Google pruža potrebni softver za integraciju sustava Google Instant Authenticator s jednokratnim vremenom (TOTP) s vašim SSH poslužiteljem. Kod spajanja ćete morati unijeti kôd s telefona.
Google Autentifikator ne "telefonira kući" Googleu - sav posao se događa na vašem SSH poslužitelju i vašem telefonu. U stvari, Google autentifikator je potpuno otvoren, pa čak možete sami pregledati izvorni kod.
Da bismo implementirali višekratnu autentifikaciju pomoću Google Autentifikatora, potreban nam je modul PAM modela za Google autentifikator otvorenog koda. PAM označava "modul za provjeru autentičnosti" - to je način jednostavnog povezivanja različitih oblika provjere autentičnosti u Linux sustav.
Ubuntuovi softverski repozitorija sadrže paket koji je jednostavan za instalaciju za modul Google Authenticator PAM. Ako vaša Linux distribucija ne sadrži paket za to, morat ćete je preuzeti s stranice za preuzimanje Google Autentifikatora na Google Codeu i sastaviti ga sami.
Da biste instalirali paket na Ubuntu, pokrenite sljedeću naredbu:
sudo apt-get instalirajte libpam-google-authenticator
(Ovo će samo instalirati PAM modul na našem sustavu - morat ćemo ga aktivirati za SSH prijave ručno.)
Prijavite se kao korisnik s kojim ćete se prijaviti na daljinu i pokrenuti Google-autentikator naredbu za stvaranje tajnog ključa za tog korisnika.
Dopustite naredbi za ažuriranje datoteke Google autentifikatora upisivanjem y. Nakon toga će biti zatraženo nekoliko pitanja koja će vam omogućiti ograničavanje upotrebe istog privremenog sigurnosnog token, povećanje vremenskog prozora koji se može upotrebljavati za tokene i ograničavanje dopuštenih pokušaja pristupa zaustavljanjem pokušaja puknuća s velikim silama. Ti su izbori svima sigurni za neku lakoću korištenja.
Google autentifikator predstavit će vam tajni ključ i nekoliko "koda za nuždu u nuždi". Zapišite kôdove za nuždu u slučaju nužde - one se mogu upotrebljavati samo jednom, a namijenjene su za upotrebu ako izgubite telefon.
Unesite tajni ključ u aplikaciji Google autentifikator na telefonu (službene aplikacije dostupne su za Android, iOS i Blackberry). Također možete koristiti značajku barkod skeniranja - idite na URL koji se nalazi pri vrhu izlaza naredbe i možete skenirati QR kôd pomoću fotoaparata telefona.
Na telefonu će vam se stalno mijenjati kontrolni kôd.
Ako se želite prijaviti na daljinu kao višestruki korisnici, pokrenite ovu naredbu za svakog korisnika. Svaki korisnik ima vlastiti tajni ključ i vlastite kodove.
Zatim ćete morati zahtijevati Google autentifikatora za SSH prijave. Da biste to učinili, otvorite /etc/pam.d/sshd datoteku na vašem sustavu (na primjer, pomoću sudo nano /etc/pam.d/sshd naredba) i dodajte sljedeći redak u datoteku:
autor je potreban pam_google_authenticator.so
Zatim otvorite / Etc / ssh / sshd_config pronađite datoteku ChallengeResponseAuthentication line i promijenite ga kako biste pročitali sljedeće:
ChallengeResponseAuthentication yes
(Ako je ChallengeResponseAuthentication linija već ne postoji, dodajte gornji redak u datoteku.)
Konačno, ponovo pokrenite SSH poslužitelj kako bi vaše izmjene stupile na snagu:
sudo service ssh restart
Od vas će se zatražiti i zaporka i kôd Google autentifikatora kad god se pokušate prijaviti putem SSH-a.