La Pengesahan dua faktor (2FA) bukanlah sesuatu yang unik yang boleh digunakan di media sosial atau di laman web lain. Nah, langkah keselamatan ini juga dapat dilaksanakan dalam sistem operasi.
Inilah sebabnya Hari ini kita akan melihat bagaimana melaksanakan pengesahan dua faktor dalam SSH di Ubuntu dan derivatif menggunakan Google Authenticator yang terkenal yang akan meningkatkan keselamatan pelayan OpenSSH anda.
Biasanya, anda hanya perlu memasukkan kata laluan atau menggunakan kunci SSH untuk masuk ke sistem anda dari jauh.
Pengesahan dua faktor (2FA) memerlukan dua keping maklumat dimasukkan untuk log masuk.
Oleh itu, anda juga perlu memasukkan kata laluan satu kali berdasarkan masa untuk log masuk ke pelayan SSH anda.
Kata laluan sekali ini dikira menggunakan algoritma TOTP, yang merupakan standard IETF.
Pemasangan dan konfigurasi Google Authenticator di Ubuntu dan derivatifnya
Langkah pertama yang akan kita laksanakan adalah pemasangan Google Authenticator dalam sistem kami, jadi kita akan membuka terminal dalam sistem (ini dapat dilakukan dengan kombinasi kunci "Ctrl + Alt + T) dan di dalamnya kita akan menaip perintah berikut:
sudo apt install libpam-google-authenticator
Pemasangan selesai kita akan menjalankan aplikasi yang baru dipasang dengan arahan berikut:
google-authenticator
Semasa melaksanakan perintah ini, apa yang akan kita lakukan adalah memberikan kunci rahsia dan ini akan bertanya kepada kita jika kita ingin menggunakan token berdasarkan masa, yang akan kita jawab ya.
Selepas ini, mereka akan melihat kod QR yang boleh mereka imbas menggunakan aplikasi TOTP di telefon mereka.
di sini Kami mengesyorkan menggunakan aplikasi Google Authenticator pada telefon bimbit anda.Oleh itu, anda boleh memasang aplikasi melalui Google Play atau Apple App Store di telefon bimbit anda.
Sudah mempunyai aplikasi di telefon anda, anda mesti mengimbas kod QR dengannya. Perlu diingat bahawa anda perlu memperbesar tetingkap terminal untuk mengimbas keseluruhan kod QR.
Kod QR mewakili kunci rahsia, yang hanya diketahui oleh pelayan SSH dan aplikasi Google Authenticatornya.
Setelah kod QR diimbas, mereka dapat melihat token enam digit yang unik di telefon mereka. Secara lalai token ini berlangsung selama 30 saat dan ia mesti dimasukkan untuk masuk ke Ubuntu melalui SSH.
Di terminal, anda juga dapat melihat kod rahsia, serta kod pengesahan dan kod permulaan kecemasan.
Dari mana kami mengesyorkan agar anda menyimpan maklumat ini di tempat yang selamat untuk digunakan kemudian. Dari soalan lain yang kami ajukan, kami hanya akan menjawab ya dengan menaip huruf y.
Menyiapkan SSH untuk digunakan dengan Google Authenticator
Sudah bergantung pada perkara di atas, Sekarang kita akan membuat konfigurasi yang diperlukan untuk dapat menggunakan sambungan SSH dalam sistem kita dengan Google Authenticator.
Di terminal vKami akan menaip arahan berikut
sudo nano /etc/ssh/sshd_config
Di dalam fail kami akan mencari baris berikut dan kami akan mengubahnya menjadi "ya", sebagai berikut:
UsePAM yes ChallengeResponseAuthentication yes
Setelah perubahan dibuat, simpan perubahan yang dibuat dengan Ctrl + O dan tutup fail dengan Ctrl + X.
Di terminal yang sama kita akan memulakan semula SSH dengan:
sudo systemctl restart ssh
Secara lalai, pengesahan memerlukan mereka memasukkan kata laluan pengguna untuk log masuk.
Oleh itu mari kita edit fail peraturan PAM untuk daemon SSH.
sudo nano /etc/pam.d/sshd
Pada awal fail ini, anda dapat melihat baris berikut, yang membolehkan pengesahan kata laluan
ChallengeResponseAuthentication
Yang mesti kita tetapkan kepada ya.
Untuk membolehkan pengesahan kata laluan sekali lagi, tambahkan dua baris berikut.
@include common-auth #One-time password authentication via Google Authenticator auth required pam_google_authenticator.so
Simpan dan tutup fail.
Mulai sekarang, setiap kali mereka masuk ke sistem anda melalui sambungan SSH, mereka akan diminta memasukkan kata laluan pengguna dan kod pengesahan (kata laluan satu kali yang dihasilkan oleh Google Authenticator).
Halo, tutorial yang cukup mudah, namun, setelah saya melakukan semua langkah yang tidak dapat saya masukkan lagi oleh ssh, ia menimbulkan kesalahan kata laluan yang salah, saya bahkan tidak dapat meminta 2FA.
Saya mempunyai Ubuntu Server 20.04