Cách bảo mật SSH bằng Xác thực hai yếu tố của Google Authenticator

Mục lục:

Cách bảo mật SSH bằng Xác thực hai yếu tố của Google Authenticator
Cách bảo mật SSH bằng Xác thực hai yếu tố của Google Authenticator

Video: Cách bảo mật SSH bằng Xác thực hai yếu tố của Google Authenticator

Video: Cách bảo mật SSH bằng Xác thực hai yếu tố của Google Authenticator
Video: Hướng dẫn tải và cài đặt ứng dụng trợ lý ảo Google Assistant cho Windows, macOS và Linux - YouTube 2024, Tháng mười một
Anonim
Bạn muốn bảo mật máy chủ SSH của mình với xác thực hai yếu tố dễ sử dụng? Google cung cấp phần mềm cần thiết để tích hợp hệ thống mật khẩu một lần (TOTP) dựa trên thời gian của Google Authenticator với máy chủ SSH của bạn. Bạn sẽ phải nhập mã từ điện thoại của mình khi bạn kết nối.
Bạn muốn bảo mật máy chủ SSH của mình với xác thực hai yếu tố dễ sử dụng? Google cung cấp phần mềm cần thiết để tích hợp hệ thống mật khẩu một lần (TOTP) dựa trên thời gian của Google Authenticator với máy chủ SSH của bạn. Bạn sẽ phải nhập mã từ điện thoại của mình khi bạn kết nối.

Google Authenticator không “gọi điện về nhà” cho Google - tất cả công việc đều xảy ra trên máy chủ SSH và điện thoại của bạn. Trên thực tế, Google Authenticator hoàn toàn là nguồn mở, vì vậy bạn thậm chí có thể tự mình kiểm tra mã nguồn của nó.

Cài đặt Google Authenticator

Để triển khai xác thực đa hệ số với Google Authenticator, chúng tôi sẽ cần mô-đun PAM Google Authenticator nguồn mở. PAM là viết tắt của “mô-đun xác thực có thể cắm được” - đó là cách dễ dàng cắm các hình thức xác thực khác nhau vào một hệ thống Linux.

Các kho phần mềm của Ubuntu chứa một gói dễ cài đặt cho mô-đun PAM của Google Authenticator. Nếu bản phân phối Linux của bạn không chứa gói này, bạn sẽ phải tải xuống từ trang tải xuống Google Authenticator trên Google Code và tự biên dịch nó.

Để cài đặt gói trên Ubuntu, hãy chạy lệnh sau:

sudo apt-get install libpam-google-authenticator

(Điều này sẽ chỉ cài đặt mô-đun PAM trên hệ thống của chúng tôi - chúng tôi sẽ phải kích hoạt nó cho đăng nhập SSH theo cách thủ công.)

Image
Image

Tạo khóa xác thực

Đăng nhập với tư cách người dùng bạn sẽ đăng nhập từ xa và chạy trình xác thực google lệnh để tạo khóa bí mật cho người dùng đó.

Cho phép lệnh cập nhật tệp Google Authenticator của bạn bằng cách nhập y. Sau đó, bạn sẽ được nhắc với một số câu hỏi sẽ cho phép bạn hạn chế sử dụng cùng một mã thông báo bảo mật tạm thời, tăng thời lượng mà mã thông báo có thể được sử dụng và giới hạn các nỗ lực được phép cản trở các nỗ lực bẻ khóa. Những lựa chọn này đều giao dịch một số bảo mật cho một số tính dễ sử dụng.

Google Authenticator sẽ hiển thị cho bạn khóa bí mật và một số "mã cào khẩn cấp". Viết mã cào khẩn cấp ở nơi an toàn - chúng chỉ có thể được sử dụng một lần và chúng được sử dụng nếu bạn mất điện thoại.
Google Authenticator sẽ hiển thị cho bạn khóa bí mật và một số "mã cào khẩn cấp". Viết mã cào khẩn cấp ở nơi an toàn - chúng chỉ có thể được sử dụng một lần và chúng được sử dụng nếu bạn mất điện thoại.
Nhập khóa bí mật trong ứng dụng Google Authenticator trên điện thoại của bạn (các ứng dụng chính thức có sẵn cho Android, iOS và Blackberry). Bạn cũng có thể sử dụng tính năng quét mã vạch - chuyển đến URL nằm gần đầu đầu ra của lệnh và bạn có thể quét mã QR bằng máy ảnh của điện thoại.
Nhập khóa bí mật trong ứng dụng Google Authenticator trên điện thoại của bạn (các ứng dụng chính thức có sẵn cho Android, iOS và Blackberry). Bạn cũng có thể sử dụng tính năng quét mã vạch - chuyển đến URL nằm gần đầu đầu ra của lệnh và bạn có thể quét mã QR bằng máy ảnh của điện thoại.
Bây giờ bạn sẽ có mã xác minh thay đổi liên tục trên điện thoại của mình.
Bây giờ bạn sẽ có mã xác minh thay đổi liên tục trên điện thoại của mình.
Nếu bạn muốn đăng nhập từ xa với nhiều người dùng, hãy chạy lệnh này cho từng người dùng. Mỗi người dùng sẽ có khóa bí mật và mã riêng của họ.
Nếu bạn muốn đăng nhập từ xa với nhiều người dùng, hãy chạy lệnh này cho từng người dùng. Mỗi người dùng sẽ có khóa bí mật và mã riêng của họ.

Kích hoạt Google Authenticator

Tiếp theo, bạn sẽ phải yêu cầu Google Authenticator cho thông tin đăng nhập SSH. Để làm như vậy, hãy mở /etc/pam.d/sshd tệp trên hệ thống của bạn (ví dụ: với sudo nano /etc/pam.d/sshd lệnh) và thêm dòng sau vào tệp:

auth required pam_google_authenticator.so

Tiếp theo, mở / etc / ssh / sshd_config tập tin, xác định vị trí ChallengeResponseAuthentication và thay đổi nó để đọc như sau:

ChallengeResponseAuthentication yes

(Nếu ChallengeResponseAuthentication dòng chưa tồn tại, hãy thêm dòng trên vào tệp.)

Cuối cùng, khởi động lại máy chủ SSH để các thay đổi của bạn sẽ có hiệu lực:

sudo service ssh restart

Đề xuất:

Các hình thức xác thực hai yếu tố khác nhau: SMS, ứng dụng Autheticator và hơn thế nữa

Các hình thức xác thực hai yếu tố khác nhau: SMS, ứng dụng Autheticator và hơn thế nữa

Nhiều dịch vụ trực tuyến cung cấp xác thực hai yếu tố, giúp tăng cường bảo mật bằng cách yêu cầu nhiều hơn là chỉ mật khẩu của bạn để đăng nhập. Có nhiều loại phương thức xác thực bổ sung khác nhau mà bạn có thể sử dụng.

Cách bật xác thực hai yếu tố cho tài khoản Google của bạn bằng Google Authenticator

Cách bật xác thực hai yếu tố cho tài khoản Google của bạn bằng Google Authenticator

Google Authenticator bảo vệ tài khoản Google của bạn khỏi các keylogger và trộm cắp mật khẩu. Với xác thực hai yếu tố, bạn sẽ cần cả mật khẩu và mã xác thực để đăng nhập. Ứng dụng Google Authenticator chạy trên các thiết bị Android, iPhone, iPod, iPad và BlackBerry.

Cách thiết lập Xác thực hai yếu tố mã mới của Google

Cách thiết lập Xác thực hai yếu tố mã mới của Google

Xác thực hai yếu tố là một cách tuyệt vời để đảm bảo tài khoản của bạn an toàn, nhưng phải nhập mã mỗi lần bạn cần đăng nhập có thể là một nỗi đau thực sự. Tuy nhiên, nhờ có xác thực "Nhắc" mã mới của Google, việc truy cập vào tài khoản Google của bạn có thể đơn giản hơn rất nhiều - bạn chỉ cần truy cập vào điện thoại của mình.

Cách di chuyển thông tin xác thực Google Authenticator của bạn sang điện thoại hoặc máy tính bảng Android mới

Cách di chuyển thông tin xác thực Google Authenticator của bạn sang điện thoại hoặc máy tính bảng Android mới

Hầu hết dữ liệu ứng dụng trên Android của bạn có thể được đồng bộ hóa trực tuyến sẽ tự động đồng bộ hóa với điện thoại hoặc máy tính bảng mới. Tuy nhiên, thông tin đăng nhập Google Authenticator của bạn sẽ không - chúng không được đồng bộ hóa vì lý do bảo mật rõ ràng.

Cách sử dụng Google Authenticator và các ứng dụng xác thực hai yếu tố khác mà không có điện thoại thông minh

Cách sử dụng Google Authenticator và các ứng dụng xác thực hai yếu tố khác mà không có điện thoại thông minh

Google, Dropbox, LastPass, Battle.net, Guild Wars 2 - tất cả các dịch vụ này và hơn thế nữa cung cấp các ứng dụng xác thực hai yếu tố hoạt động trên điện thoại thông minh. Nếu bạn không có thiết bị được hỗ trợ, bạn có thể chạy một ứng dụng thay thế trên máy tính của mình.