Використання двоступенева автентифікація збільшується з плином часу, і полягає в тому, що безпеку Очевидно, це стає надзвичайно важливим для наших комп’ютерів, оскільки кількість інформації, яку ми зберігаємо на них, збільшується з місяця в місяць, практично пропорційно часу, який ми витрачаємо на всі наші пристрої. І хоча багато хто думає, що хороший пароль рятує їх від неприємностей, це правда лише наполовину, оскільки перед особами, які хакери зазвичай роблять у багатьох місцях, мало і нічого не можна зробити, якщо було отримано наше ключове слово для входу.
Подивимось тоді, як додати двоступеневу автентифікацію в SSH, те, що нам дозволить пропонуємо безпечний віддалений доступ до наших серверів, як для нас, так і для тих, хто отримує доступ до своїх облікових записів, щоб гарантувати більш стабільний рівень безпеки. Тим, хто не має на увазі цей метод, скажіть, що він складається з використовуйте пароль, а потім код, який надсилається іншим шляхом (наприклад, на наш мобільний), щоб згодом ми ввійшли в нього і нарешті отримали доступ до своїх акаунтів.
Порівняно простий спосіб додати двоступеневу автентифікацію - за допомогою Google Athenticator, інструмент, який компанія Mountain View запустила для цих цілей, і який базується на відкритих стандартах, таких як HMAP, а також доступний на різних платформах, серед них і Linux. Але також, оскільки для цього інструменту існують модулі PAM, ми можемо інтегрувати його в інші рішення безпеки, такі як OpenSSH, тож саме це ми побачимо далі.
Само собою зрозуміло, нам знадобиться комп’ютер з уже встановленими Linux і OpenSSH, що ми робимо в Ubuntu наступним чином:
sudo apt-get встановити openssh-сервер
Тоді для мобільного рішення ми будемо базуватися на Android, тому, звичайно, нам знадобиться планшет або смартфон з операційною системою Google, в який ми встановимо інструмент Google, як ми побачимо пізніше. Тепер ми готові розпочати процедуру.
Перш за все, ми повинні встановити Google Authenticator, те, що у випадку з Ubuntu так само просто, як запустити наступне в консолі:
sudo apt-get install libpam-google-authentication
Якщо з'являється помилка, де нас попереджають про відсутність файлу безпека / pam_appl.h, ми можемо вирішити це, встановивши пакет libpam0g-dev:
sudo apt-get встановити libpam0g-dev
Тепер, коли у нас працює Google Authenticator, ми можемо створити ключ автентифікації, виконавши:
google-автентифікатор
Після цього ми побачимо a QR-код і ключ безпеки під ним (поруч із текстом "Ваш новий секретний ключ: xxxx"), а також ключ підтвердження та екстрені коди, які допоможуть нам, якщо ми не маємо Android-пристрій. Ми відповідаємо на запитання щодо конфігурації сервера, і якщо ми не дуже впевнені, можемо відповісти на всі, оскільки конфігурація за замовчуванням безпечна.
Тепер настає час налаштувати Google Authenticator на Android, для чого ми завантажуємо додаток із магазину Play. При його виконанні ми бачимо, що нам дозволено вибирати між введенням штрих-коду або введенням ключа, для чого ми можемо використовувати QR-код, який ми бачимо при налаштуванні цього інструменту на сервері, або ввести буквено-цифровий ключ. Для останнього ми вибираємо варіант 'автентифікація ssh' а потім ми пишемо код.
Тоді ми побачимо екран підтвердження, де нам пояснюють, що процедура була успішною і що з цього моменту ми зможемо отримати коди для входу у цій програмі, тож тепер ми побачимо завершальний крок, який полягає у активації Google Authenticator на сервері SSH. Ми виконуємо:
sudo gedit /etc/pam.d/sshd
і ми додаємо наступний рядок:
авторизація потрібна pam_google_authenticator.so
Зараз:
sudo gedit / etc / ssh / sshd_config
Ми шукаємо варіант Аутентифікація ChallengeResponse і ми змінюємо його значення на "так".
Нарешті, ми перезапустимо сервер SSH:
sudo service ssh restart -
Ми готові, і відтепер ми можемо вхід на сервер SSH з двоступеневою автентифікацією, для якого ми проводимо звичайну процедуру, але ми побачимо, що перед введенням нашого пароля нас запитують код підтвердження; тоді ми запускаємо додаток на Android, і коли ми бачимо код безпеки, ми вводимо його на комп’ютері (у нас є 30 секунд для цього, після чого автоматично генерується новий ключ), а потім нам пропонується ввести наш ключ SSH для всього час життя.