Я хотел бы усилить аутентификацию моих SSH-входов, добавив еще один фактор: устройство генерации пароля или приложение для генерации пароля на моем мобильном телефоне. Единственными очевидными параметрами в настройках по умолчанию являются фиксированный пароль и пара ключей. Как я могу это сделать?
(Если я использую пароль плюс генератор паролей, это обеспечивает двухфакторную аутентификацию (2FA): пароль «то, что я знаю», а пароль «то, что у меня есть».)
Ответы:
Один из способов сделать это с помощью инструмента Google Authenticator .
Установите libpam-google-authenticator
sudo apt-get install libpam-google-authenticatorИзменить, /etc/pam.d/sshdчтобы включить модуль:
sudoedit /etc/pam.d/sshdа затем включите эту строку вверху файла и сохраните:
auth required pam_google_authenticator.so
Отредактируйте ваш конфигурационный файл SSH, чтобы включить задачу:
sudoedit /etc/ssh/sshd_config а затем измените аутентификацию ответа с:
ChallengeResponseAuthentication no
в
ChallengeResponseAuthentication yes
и затем сохраните файл.
sudo restart ssh перезапустить SSH
Бегать google-authenticator
Вам понадобится один из них, чтобы получить код аутентификации на другом устройстве.
Обратите внимание, что объединение пароля с одноразовыми паролями является двухфакторной аутентификацией: оно объединяет «то, что вы знаете» (пароль) с «тем, что у вас есть» (устройство генерации пароля). С другой стороны, если вы комбинируете одноразовые пароли с парой ключей SSH, это все о том, «что у вас есть». Когда два фактора аутентификации имеют одинаковый тип, у вас нет двухфакторной аутентификации; это иногда называют «полу-факторной аутентификацией».
Google Authenticator подходит для ваших личных серверов, но вы можете обнаружить, что он не очень хорошо сочетается с вашей существующей инфраструктурой идентификации. Если вы хотите изучить другие варианты, подумайте об использовании RADIUS в качестве протокола аутентификации и плагина pam-radius. Все ориентированные на предприятие системы двухфакторной аутентификации поддерживают радиус. Мы написали документ о том, как добавить двухфакторную аутентификацию WiKID через pam-radius в Ubuntu .
Использование радиуса позволяет связать в других системах помимо SSH тот же сервер аутентификации. Вы также можете направить запросы авторизации через freeradius на LDAP, а затем на сервер 2FA, чтобы отделить авторизацию от аутентификации. Вы можете сделать то же самое с AD, кстати.
Я призываю всех поставить следующую строку в верхней части , а не в нижней части , /etc/pam.d/sshdкак описано выше , ранее (теперь исправлено):
auth required pam_google_authenticator.so
В противном случае ваша система останется открытой для атак методом «грубой силы» на ваш пароль, включающий первую часть двухфакторной аутентификации: ваш пароль.
Сначала вас попросят ввести код подтверждения, а затем пароль (независимо от того, был ли этот код правильным). Если один из них неправильный, вам нужно ввести оба снова. Вы можете настроить его наоборот, но это немного более сложное изменение, чтобы описать его в текущей конфигурации Ubuntu (15.04) sshd по умолчанию.
Для деталей, почему это необходимо, проверьте эту проблему: