Како да обезбедите ССХ са Аутентификацијом Гоогле Аутентификатора
Желите да осигурате ССХ сервер једноставном аутентификацијом у два фактора? Гоогле обезбеђује потребан софтвер за интеграцију система времена на основу Гоогле Аутхентицатор-а (ТОТП) са ССХ сервером. Када се повежете, морате да унесете код са телефона.
Гоогле аутентикатор не „шаље телефон“ на Гоогле - сав посао се дешава на вашем ССХ серверу и вашем телефону. У ствари, Гоогле Аутентикатор је потпуно отвореног кода, тако да чак можете и сами да проучите његов изворни код.
Инсталирајте Гоогле Аутентификатор
Да бисте имплементирали мултифакторску аутентификацију са Гоогле Аутхентицатор-ом, потребан нам је отворени изворни Гоогле ПАМ модул. ПАМ је кратица за “плуггабле аутхентицатион модуле” - то је начин да се једноставно повежу различити облици аутентификације у Линук систем.
Складишта софтвера за Убунту садрже пакет који се лако инсталира за ПАМ модул Гоогле Аутентификатора. Ако ваша Линук дистрибуција не садржи пакет за ово, мораћете да га преузмете са Гоогле Аутхентицатор преузимања на Гоогле Цоде и сами саставите.
Да бисте инсталирали пакет на Убунту, покрените следећу команду:
судо апт-гет инсталл либпам-гоогле-аутхентицатор
(Ово ће инсталирати само ПАМ модул на нашем систему - морат ћемо га активирати ручно за ССХ пријаве.)
Креирајте кључ за проверу идентитета
Пријавите се као корисник који ћете се пријавити са удаљене локације и покренути гоогле-аутхентицатор наредбу за креирање тајног кључа за тог корисника.
Дозволите команди да ажурира датотеку Гоогле аутентификатора тако што ћете откуцати и. Тада ћете добити неколико питања која ће вам омогућити да ограничите коришћење истог привременог безбедносног токена, повећате временски прозор за који се знакови могу користити и ограничите дозвољени приступ покушајем да омете покушаје пуцања бруталне силе. Сви ови избори омогућавају одређену сигурност за једноставну употребу.
Гоогле Аутентификатор ће вам представити тајни кључ и неколико "хитних кодова за брисање". Запишите негативне кодове за огреботине негдје на сигурном - они се могу користити само сваки пут и намијењени су за кориштење ако изгубите телефон.
Унесите тајни кључ у апликацији Гоогле Аутхентицатор на телефону (званичне апликације су доступне за Андроид, иОС и Блацкберри). Такође можете да користите баркод скенирања скенирања - идите на УРЛ који се налази на врху излаза команде и можете скенирати КР код помоћу камере на телефону.
Сада ћете на свом телефону имати стално верификујући код за верификацију.
Ако желите да се пријавите даљински као више корисника, покрените ову команду за сваког корисника. Сваки корисник ће имати свој тајни кључ и своје властите кодове.
Активирајте Гоогле Аутхентицатор
Затим морате да захтевате Гоогле Аутентификатор за ССХ пријаве. Да бисте то урадили, отворите /етц/пам.д/ссхд на вашем систему (на пример, са судо нано /етц/пам.д/ссхд наредбу) и додајте сљедећи редак у датотеку:
аутх рекуиред пам_гоогле_аутхентицатор.со
Затим отворите / етц / ссх / ссхд_цонфиг филе, пронађите ЦхалленгеРеспонсеАутхентицатион и промените је на следећи начин:
ЦхалленгеРеспонсеАутхентицатион иес
(Ако ЦхалленгеРеспонсеАутхентицатион редак већ не постоји, додајте горњу линију у датотеку.)
Коначно, поново покрените ССХ сервер тако да ће промене ступити на снагу:
судо сервице ссх рестарт
Од вас ће се тражити и лозинка и код Гоогле аутентикатора сваки пут када се покушате пријавити путем ССХ-а.