Autentificarea SSH cu doi factori prin Google securizează conectările Linux

  • Blaise Brooks
  • 0
  • 4124
  • 319

Când Google a introdus autentificarea cu doi factori pentru conturile Google și Google Apps, au creat și un modul de autentificare conectabil (PAM) pentru Linux. Aceasta este o veste excelentă pentru persoanele care rulează servere Linux care doresc să-și protejeze conturile SSH accesibile de la distanță cu autentificare în doi factori. Gratuit.

Autentificarea cu doi factori este aceea în care vă autentificați la un serviciu cu două informații: unul pe care îl cunoașteți și altul nu. Informațiile pe care le cunoașteți sunt parola dvs. (care poate fi furată), în timp ce informațiile pe care nu le cunoașteți sunt un număr PIN generat la întâmplare, care se schimbă la fiecare 60 de secunde. Deci, chiar dacă parola este furată sau descoperită, cu excepția cazului în care un atacator are mijloacele de a obține codul PIN corect (legat la un dispozitiv hardware), acestea nu se pot conecta la serviciul protejat.

Google a creat aplicația Google Authenticator pentru iPhone, Android și Blackberry - transformând eficient telefonul în dispozitivul tău hardware. Înainte de a putea folosi autentificarea cu doi factori pentru a vă securiza conectările Linux, va trebui să o activați în contul Google (am scris și un sfat despre configurarea autentificării Google cu doi factori pentru utilizatorii Mac / iPhone).

După ce autentificarea cu doi factori este activată și funcționând cu contul Google sau Google Apps, puteți începe să configurați același lucru pentru serverul dvs. Linux. Pentru a face acest lucru, va trebui să descărcați și să compilați modulul PAM pentru sistemul dvs. Exemplele de aici se vor baza pe Fedora 14, dar ar trebui să fie suficient de ușor să-ți dai seama de echivalente pentru orice distribuție pe care o vei folosi. De asemenea, presupunem că aveți sudo scrie pentru a rula orice ca root; dacă nu este cazul, su to root pentru a rula acele comenzi (ca root) care sunt prefixate cu sudo. Veți avea nevoie de mercurial instalat pentru a verifica inițial codul.

$ sudo yum instala pam-devel
$ hg clone https://google-authenticator.googlecode.com/hg/ google-autentificator /
$ cd google-autentificator / libpam /
$ face
$ sudo face instalare
$ sudo vim /etc/pam.d/sshd

Odată ce modulul PAM și aplicația google-autentificator al liniei de comandă sunt instalate, trebuie să editați fișierul /etc/pam.d/sshd pentru a adăuga modulul, astfel încât acesta poate ajunge să pară astfel:

  auth-ul necesar pam_sepermit.so
  Auth-ul necesar pam_google_authenticator.so
  auth include parola-auth

Aceasta setează autentificarea cu doi factori pentru SSH. De asemenea, este posibil să faceți același lucru pentru gdm, necesitând utilizarea autentificării cu doi factori pentru a vă autentifica local.

Când se face acest lucru, ca utilizator pentru care doriți să aveți nevoie de autentificare cu doi factori, rulați aplicația Google-autentificator, care va crea o nouă cheie secretă în directorul de acasă:

% google-autentificator
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/[email protected]%3Fsecret%3DSAEP64T5VZAVWAFB
Noua ta cheie secretă este: SAEP64T5VZAVWAFB
Codul dvs. de verificare este 376046
Codurile dvs. de zgârieturi de urgență sunt:
  67868696
  26247332
  54815527
  54336661
  71083816
Vrei să actualizez fișierul dvs. „~ / .google_authenticator” (y / n) y
Doriți să nu permiteți mai multe utilizări ale aceleiași autentificări
jeton? Acest lucru vă restricționează la o autentificare la fiecare 30 de ani, dar crește
șansele dvs. de a observa sau chiar de a preveni atacurile omului în mijloc (a / a) y
În mod implicit, token-urile sunt bune timp de 30 de secunde și pentru a compensa
posibilă distanță între client și server, permitem un plus
jeton înainte și după ora curentă. Dacă întâmpinați probleme cu săracii
sincronizare timp, puteți mări fereastra de la valoarea implicită
dimensiune de la 1: 30min la aproximativ 4min. Doriți să faceți acest lucru (a / a) n
Dacă computerul în care vă conectați nu este întărit împotriva forței brute
Încercări de conectare, puteți activa limitarea ratei pentru modulul de autentificare.
În mod implicit, acest lucru îi limitează pe atacatori la cel mult 3 încercări de conectare la fiecare 30 de ani.
Doriți să activați limitarea ratei (y / n) y

În browserul dvs., încărcați adresa URL menționată mai sus; acesta va afișa un cod QR pe ​​care îl puteți scana pe telefon utilizând aplicația Google Authenticator pentru iPhone, Android sau Blackberry. Dacă aveți deja un jeton Google Authenticator generat pe telefon, puteți adăuga unul nou și le va afișa pe ambele (și le va distinge după nume).

Un sfat rapid: timpul este _very_ important, deci serverul la care vă conectați ar trebui să aibă instalat un client NTP pentru a menține exact timpul. Fii atent la acest lucru; dacă aveți probleme, va trebui să deschideți dimensiunea ferestrei, așa cum a notat google-autentificatorul.

De asemenea, va trebui să editați / etc / ssh / sshd_config pentru a activa „ChallengeResponseAuthentication” și „UsePAM” (setați-le ambele pe „da”).

Reporniți sshd după ce faceți orice modificare a fișierului.

Când se face acest lucru, încercați să vă conectați la sistem prin SSH:

% server ssh
Cod de verificare:
Parola:
Ultima autentificare: mar 10 mai 11:54:21 2011 de la client.example.com

Pentru a vă autentifica, trebuie să furnizați codul de verificare, așa cum este prezentat de telefonul dvs. Chiar dacă parola este cunoscută, fără codul de verificare, autentificarea nu va reuși. De asemenea, rețineți că nu veți putea utiliza acest lucru dacă utilizați chei private / publice ssh, deoarece cele două se exclud reciproc (autentificările bazate pe cheie primesc o parolă promptă de partea clientului și nu oferă niciodată o parolă serverului).

Configurarea autentificării în doi factori pentru SSH este surprinzător de simplă, datorită Google. Durează doar câteva minute pentru configurare, infrastructura și instrumentele sunt gratuite, iar câștigurile de securitate sunt minunate.




Nimeni nu a comentat acest articol încă.

Sfaturi, informații utile și cele mai noi știri din lumea tehnologiei!
Informații utile și cele mai noi știri tehnologice din întreaga lume. Recenzii video ale telefoanelor, tabletelor și calculatoarelor.