כיצד לאבטח SSH עם אימות של שני המאמת של Google
רוצה לאבטח את שרת SSH שלך עם אימות קל לשימוש בשני גורמים? Google מספקת את התוכנה הדרושה לשילוב מערכת סיסמאות חד פעמיות המבוססות על זמן (TOTP) של Google Authenticator עם שרת ה- SSH שלך. יהיה עליך להזין את הקוד מהטלפון שלך בעת ההתחברות.
המאמת של Google אינו "שולח את הטלפון הביתה" אל Google - כל העבודה מתרחשת בשרת ה- SSH ובטלפון שלך. למעשה, Google Authenticator הוא קוד פתוח לחלוטין, כך שתוכל לבדוק את קוד המקור שלך בעצמך.
התקן את המאמת של Google
כדי ליישם אימות של multifactor באמצעות מאמת החשבונות של Google, אנו זקוקים למודול PAM של Google Authenticator של קוד פתוח. PAM מייצג "מודול אימות לחיבור" - זוהי דרך לחבר בקלות צורות שונות של אימות למערכת לינוקס.
מאגרי התוכנה של אובונטו מכילים חבילה קלה להתקנה עבור מודול ה- PAM של Google Authenticator. אם ההפצה שלך ב- Linux אינה מכילה חבילה עבור זה, יהיה עליך להוריד אותה מדף ההורדות של Google Authenticator ב- Google Code ולעבד אותו בעצמך.
כדי להתקין את החבילה על אובונטו, הפעל את הפקודה הבאה:
sudo apt-get להתקין את libpam-google-authenticator
(פעולה זו תתקין את מודול ה- PAM במערכת שלנו - יהיה עלינו להפעיל אותו עבור כניסות SSH באופן ידני.)
צור מפתח אימות
היכנס כמשתמש שתתחבר אליו מרחוק ותפעיל אותו Google-authenticator כדי ליצור מפתח סודי עבור אותו משתמש.
אפשר לפקודה לעדכן את קובץ המאמת של Google על ידי הקלדת y. לאחר מכן תתבקש עם מספר שאלות שיאפשרו לך להגביל את השימושים של אסימון אבטחה זמני זהה, להגדיל את חלון הזמן כי אסימונים ניתן להשתמש בהם, וכן להגביל את הניסיונות acces מנסה לעכב בכוח הזרוע ניסיונות פיצוח. בחירות אלה כל סחר קצת ביטחון עבור קלות שימוש.
Google Authenticator יציג בפניך מפתח סודי וכמה "קודי שריטה לשעת חירום". רשום את קודי החירום לשעת חירום במקום בטוח - ניתן להשתמש בהם פעם אחת בלבד, והם מיועדים לשימוש אם תאבד את הטלפון שלך.
הזן את המפתח הסודי באפליקציית המאמת של Google בטלפון (אפליקציות רשמיות זמינות עבור Android, iOS ו- Blackberry). ניתן גם להשתמש בתכונת ברקוד הסריקה - עבור אל כתובת האתר הממוקמת בחלק העליון של הפלט של הפקודה, ואתה יכול לסרוק קוד QR עם מצלמת הטלפון שלך.
כעת יהיה לך קוד אימות משתנה בטלפון.
אם ברצונך להיכנס מרחוק כמשתמשים מרובים, הפעל פקודה זו עבור כל משתמש. כל משתמש יהיה המפתח הסודי שלהם ואת הקודים שלהם.
הפעל את המאמת של Google
לאחר מכן יהיה עליך לדרוש מאמת החשבונות של Google עבור כניסות SSH. לשם כך, פתח את /etc/pam.d/sshd קובץ על המערכת שלך (לדוגמה, עם sudo nano /etc/pam.d/sshd הפקודה) והוסף את השורה הבאה לקובץ:
נדרש ph_google_authenticator.so
לאחר מכן, פתח את / etc / ssh / sshd_config קובץ, אתר את האתגר ולאחר מכן לשנות אותו כך:
אתגרעזרהאישור כן
(אם האתגר השורה עדיין לא קיימת, הוסף את השורה שלמעלה לקובץ.)
לבסוף, הפעל מחדש את שרת SSH כדי שהשינויים ייכנסו לתוקף:
שירות מחדש
תתבקש להזין את הסיסמה ואת קוד המאמת של Google בכל פעם שתנסה להיכנס באמצעות SSH.