Slik konfigurerer du tofaktorautentisering for SSH på Fedora

Hver dag ser det ut til at det er rapportert om mange sikkerhetsbrudd der dataene våre er i fare. Til tross for at SSH er en sikker måte å etablere en ekstern tilkobling til et Linux-system, men likevel kan en ukjent bruker få tilgang til Linux-maskinen din hvis de stjeler SSH-nøklene dine, selv om du deaktiverer passord eller bare tillater SSH-tilkoblinger over offentlige og private nøkler.

I denne artikkelen vil vi forklare hvordan du setter opp tofaktorautentisering (2FA) for SSH på Fedora Linux-distribusjon ved å bruke Google Authenticator for å få tilgang til et eksternt Linux-system på en sikrere måte ved å gi et TOTP (Det tidsbaserte engangspassordet)-nummer generert tilfeldig av et autentiseringsprogram på en mobilenhet.

Les også: Slik konfigurerer du tofaktorautentisering for SSH-pålogginger i CentOS og Debian

Merk at du kan bruke en hvilken som helst toveis autentiseringsapplikasjon for mobilenheten din som er kompatibel med TOTP-algoritmen. Det er mange gratis apper tilgjengelig for Android eller IOS som støtter TOTP og Google Authenticator, men denne artikkelen bruker Google Authenticator som et eksempel.

Installerer Google Authenticator på Fedora

Installer først Google Authenticator-applikasjonen på din Fedora-server ved å bruke følgende dnf-kommando.

sudo dnf install -y google-authenticator

Når Google Authenticator er installert, kan du nå kjøre programmet.

google-authenticator

Applikasjonen ber deg med en rekke spørsmål. Følgende utdrag viser deg hvordan du svarer for et rimelig sikkert oppsett.

Do you want authentication tokens to be time-based (y/n) y Do you want me to update your "/home/user/.google_authenticator" file (y/n)? y

Applikasjonen gir deg en hemmelig nøkkel, bekreftelseskode og gjenopprettingskoder. Oppbevar disse nøklene på et sikkert og trygt sted, siden disse nøklene er den eneste måten å få tilgang til serveren på hvis du mister mobilenheten.

Sette opp mobiltelefonautentisering

På mobiltelefonen din, gå til appbutikken Google Play eller iTunes og søk etter Google Authenticator og installer applikasjonen.

Åpne nå Google Authenticator-applikasjonen på mobiltelefonen din og skann QR-koden som vises på Fedora-terminalskjermen. Når QR-kodeskanningen er fullført, vil du få et tilfeldig generert nummer av autentiseringsapplikasjonen og bruke dette nummeret hver gang du kobler til Fedora-serveren eksternt.

Fullfør konfigurasjonen av Google Authenticator

Google Authenticator-appen stiller flere spørsmål, og følgende eksempel viser hvordan du kan svare på dem for å konfigurere sikker konfigurasjon.

Nå må du konfigurere SSH til å bruke den nye toveisautentiseringen som forklart nedenfor.

Konfigurer SSH for å bruke Google Authenticator

For å konfigurere SSH til å bruke autentisering-applikasjonen, må du først ha en fungerende SSH-tilkobling som bruker offentlige SSH-nøkler, siden vi vil deaktivere passordtilkoblinger.

Åpne filen /etc/pam.d/sshd på serveren din.

sudo vi /etc/pam.d/sshd

Kommenter ut auth substack password-auth-linjen i filen.

#auth       substack     password-auth

Plasser deretter følgende linje til slutten av filen.

auth sufficient pam_google_authenticator.so

Lagre og lukk filen.

Deretter åpner og redigerer du /etc/ssh/sshd_config-filen.

sudo vi /etc/ssh/sshd_config

Søk etter ChallengeResponseAuthentication-linjen og endre den til yes.

ChallengeResponseAuthentication yes

Søk etter PasswordAuthentication-linjen og endre den til no.

PasswordAuthentication no

Plasser deretter følgende linje til slutten av filen.

AuthenticationMethods publickey,password publickey,keyboard-interactive

Lagre og lukk filen, og start deretter SSH på nytt.

sudo systemctl restart sshd

Tester tofaktorautentisering på Fedora

Prøv nå å koble til serveren din eksternt, den vil be deg om å angi en bekreftelseskode.

ssh [email 

Verification code:

Bekreftelseskoden genereres tilfeldig på mobiltelefonen din av autentiseringsapplikasjonen din. Siden generert kode endres med noen sekunders mellomrom, må du angi den raskt før den oppretter en ny.

Hvis du skriver inn feil bekreftelseskode, vil du ikke kunne koble til systemet, og du vil få en feilmelding om tillatelse nektet.

ssh [email 

Verification code:
Verification code:
Verification code:
Permission denied (keyboard-interactive).
Konklusjon

Ved å implementere denne enkle toveisautentiseringen har du lagt til et ekstra lag med sikkerhet til systemet ditt, og i tillegg gjør dette vanskeligere for en ukjent bruker å få tilgang til serveren din.