Поиск по сайту:

Безопасный SSH с двухфакторной аутентификацией Google Authenticator на CentOS 7


На этой странице

  1. Ссылки

Доступ по SSH всегда имеет решающее значение, и вы можете найти способы повысить безопасность своего доступа по SSH. В этой статье мы увидим, как мы можем защитить SSH с помощью простой двухфакторной аутентификации с помощью Google Authenticator. Прежде чем использовать его, вы должны интегрировать демон SSH на своем сервере с протоколом одноразового пароля Google Authenticator TOTP, а еще одно ограничение заключается в том, что вы должны иметь при себе телефон Android все время или, по крайней мере, то время, когда вам нужен доступ по SSH. Это руководство написано для CentOS 7.

Прежде всего, мы установим модуль PAM Google Authenticator с открытым исходным кодом, выполнив следующую команду в оболочке.

 yum install google-authenticator 

Эта команда установит аутентификатор Google на ваш сервер Centos 7. Следующим шагом будет получение проверочного кода. Это очень простая команда, чтобы получить код подтверждения и скретч-коды, просто отвечая на простые вопросы сервера, которые он вам задаст. Вы можете сделать этот шаг, выполнив следующую команду:

 google-authenticator 

Вы получите вывод, подобный следующему снимку экрана, который отображается, чтобы помочь вам шаг за шагом, поскольку этот шаг очень важен и важен. Запишите аварийные скретч-коды в надежном месте, каждый из них можно использовать только один раз, и они предназначены для использования в случае потери телефона.

Теперь загрузите приложение Google для проверки подлинности на свой мобильный телефон, приложение существует для Android и Iphone. Что ж, у меня есть Android, поэтому я загружу его из Google Play Store, где я нашел его, просто набрав «Google Authenticator».

Следующим шагом будет изменение некоторых файлов, которые мы начнем с изменения /etc/pam.d/sshd. Добавьте следующую строку в конец строки:

 auth required pam_google_authenticator.so 

Измените следующий файл /etc/ssh/sshd_config. Добавьте в файл следующую строку и, если она уже размещена, измените параметр на \yes\:

 ChallengeResponseAuthentication yes 

Теперь перезапустите службу ssh следующей командой:

 service sshd restart 

Последний шаг – протестировать сервис, подключившись к серверу по SSH, чтобы узнать, потребуется ли код подтверждения. Вы можете увидеть следующий снимок экрана, на котором показан код подтверждения, который постоянно меняется, и вы должны войти с ним:

Итак, мы успешно настроили SSH-аутентификацию на основе Google Authenticator. Теперь ваш SSH защищен, и никакая грубая атака не может проникнуть на ваш сервер, если только у кого-то нет вашего проверочного кода, который также потребует доступа к вашему телефону.

Ссылки

  • СентОС
  • Страница Википедии о Google Authenticator