Come configurare l'autenticazione a due fattori in SSH in Ubuntu?

Autenticazione a due fattori

La L'autenticazione a due fattori (2FA) non è qualcosa di unico che può essere utilizzato sui social media o su qualsiasi altro sito web. Ebbene, questa misura di sicurezza può essere implementata anche all'interno di un sistema operativo.

Ecco perché Oggi vedremo come implementare l'autenticazione a due fattori in SSH in Ubuntu e derivati ​​utilizzando il noto Google Authenticator che aumenterà notevolmente la sicurezza del tuo server OpenSSH.

Normalmente, devi solo inserire una password o utilizzare la chiave SSH per accedere al tuo sistema da remoto.

L'autenticazione a due fattori (2FA) richiede l'immissione di due informazioni per l'accesso.

Pertanto, dovrai anche inserire una password monouso basata sul tempo per accedere al tuo server SSH.

Questa password monouso viene calcolata utilizzando l'algoritmo TOTP, che è uno standard IETF.

Installazione e configurazione di Google Authenticator in Ubuntu e derivati

Il primo passo che effettueremo è l'installazione di Google Authenticator nel nostro sistema, quindi apriremo un terminale nel sistema (questo può essere fatto con la combinazione di tasti “Ctrl + Alt + T) e in esso digiteremo il seguente comando:

sudo apt install libpam-google-authenticator

Installazione eseguita eseguiremo l'applicazione appena installata con il seguente comando:

google-authenticator

Quando eseguiremo questo comando, ciò che faremo è assegnare una chiave segreta e questo ci chiederà se vogliamo utilizzare i token in base al tempo, a cui risponderemo sì.

Dopodichè, vedranno un codice QR che possono scansionare utilizzando un'app TOTP sul proprio telefono.

qui Ti consigliamo di utilizzare l'applicazione Google Authenticator sul tuo telefono cellulare.il, quindi puoi installare l'applicazione tramite Google Play o Apple App Store sul tuo cellulare.

Avendo già l'applicazione sul telefono, è necessario scansionare il codice QR con essa. Tieni presente che devi ingrandire la finestra del terminale per scansionare l'intero codice QR.

Il codice QR rappresenta la chiave segreta, noto solo al suo server SSH e alla sua app Google Authenticator.

Una volta scansionato il codice QR, possono vedere un token univoco a sei cifre sul proprio telefono. Per impostazione predefinita, questo token dura 30 secondi e deve essere inserito per accedere a Ubuntu tramite SSH.

chiave-segreta-google-authenticator

Nel terminale potrai anche vedere il codice segreto, così come il codice di verifica e il codice di avvio di emergenza.

Da cui ti consigliamo di conservare queste informazioni in un luogo sicuro per un uso successivo. Delle altre domande che ci vengono poste, risponderemo semplicemente sì digitando la lettera y.

Configurazione SSH da utilizzare con Google Authenticator

Contando già su quanto sopra, Ora faremo la configurazione necessaria per poter utilizzare la connessione SSH nel nostro sistema con Google Authenticator.

Nel terminale vDigiteremo il seguente comando

sudo nano /etc/ssh/sshd_config

All'interno del file cercheremo le seguenti righe e le cambieremo in "sì", essendo le seguenti:

UsePAM yes

ChallengeResponseAuthentication yes

Una volta apportate le modifiche, salva le modifiche apportate con Ctrl + O e chiudi il file con Ctrl + X.

Nello stesso terminale riavvieremo SSH con:

sudo systemctl restart ssh

Per impostazione predefinita, l'autenticazione richiede l'immissione della password utente per accedere.

Per cosa modifichiamo il file delle regole PAM per il demone SSH.

sudo nano /etc/pam.d/sshd

All'inizio di questo file, puoi vedere la seguente riga, che abilita l'autenticazione della password

ChallengeResponseAuthentication

Che dobbiamo impostare su sì.

Per abilitare anche l'autenticazione con password monouso, aggiungere le seguenti due righe.

@include common-auth

#One-time password authentication via Google Authenticator

auth required pam_google_authenticator.so

Salva e chiudi il file.

D'ora in poi, ogni volta che accedono al tuo sistema tramite una connessione SSH, verrà richiesto di inserire la password utente e un codice di verifica (la password monouso generata da Google Authenticator).


Un commento, lascia il tuo

Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   Miguel suddetto

    Ciao, tutorial abbastanza semplice, tuttavia, una volta che ho fatto tutti i passaggi che non posso più entrare con ssh, mi viene visualizzato un errore di password errata, non posso nemmeno chiedere 2FA.

    Ho Ubuntu Server 20.04