Linux to-faktor autentisering

Elias Krogh Svendsen
Linux to-faktor autentisering
To-faktorautentisering (2FA) er en påloggingsprosess som består av en dobbel autentiseringsmekanisme. De fleste kjente implementeringer inkluderer klassisk SMS- eller e -postkodebekreftelse for nye/ukjente nettlesere og enheter.

I dette scenariet, selv om en hacker får en PayPal eller hosting -passord, vil han ikke kunne logge seg på uten bekreftelseskoden sendt til offerets telefon eller e -post.

Implementering av tofaktorautentisering er en av de beste praksisene for å beskytte vår e-post, sosiale nettverkskontoer, hosting og mer. Dessverre er systemet vårt ikke unntaket.

Denne opplæringen viser hvordan du implementerer tofaktorautentiseringen for å beskytte din SSH-tilgang ved hjelp av Google Authenticator eller Authy-SSH. Google Authenticator lar deg bekrefte en pålogging ved hjelp av mobilappen, mens Authy-SSH kan implementeres uten en app som bruker SMS-verifisering.

Linux tofaktorautentisering ved hjelp av Google Authenticator

Merk: Vær så snill, før du fortsetter, må du sørge for at du har Google Authenticator installert på mobilenheten din.

For å starte, utfør følgende kommando for å installere Google Authenticator (Debian-baserte Linux-distribusjoner):

sudo apt install libpam-google-authenticator -y

For å installere Google Authenticator på Red Hat-baserte Linux-distribusjoner (CentOS, Fedora), kjør følgende kommando:

sudo dnf installer google -authenticator -y

Når du er installert, kjør Google Authenticator som vist på skjermdumpen nedenfor.

Google-Authenticator

Som du kan se, dukker det opp en QR -kode. Du må legge til den nye kontoen ved å klikke på + Ikonet i mobilen Google Authenticator -appen og velg Skann QR kode.

Google Authenticator vil også gi sikkerhetskopieringskoder du trenger å skrive ut og lagre i tilfelle du mister tilgangen til mobilenheten din.

Du vil bli stilt noen spørsmål, som er detaljert nedenfor, og du kan godta alle standardalternativer ved å velge Y For alle spørsmål:

  • Etter å ha skannet QR -koden, vil installasjonsprosessen kreve tillatelse til å redigere hjemmet ditt. trykk Y å fortsette til neste spørsmål.
  • Det andre spørsmålet anbefaler å deaktivere flere pålogginger ved å bruke den samme bekreftelseskoden. trykk Y å fortsette.
  • Det tredje spørsmålet refererer til utløpstimingen for hver genererte kode. Igjen, du kan tillate tid skjevt, trykk Y å fortsette.
  • Aktiver hastighetsbegrensning, opptil 3 innloggingsforsøk hvert 30.-tallet. trykk Y å fortsette.

Når Google Authenticator er installert, må du redigere filen /etc/pam.d/sshd For å legge til en ny autentiseringsmodul. Bruk Nano eller en hvilken som helst annen redaktør som vist på skjermdumpen nedenfor for å redigere filen /etc /PAM.D/SSHD:

Nano /etc /pam.d/sshd

Legg til følgende linje til /etc /pam.d/sshd som vist på bildet nedenfor:

AUTH krevde PAM_GOOGLE_AUTHENTICATOR.Så Nullok

Merk: Red Hat -instruksjoner nevner en linje som inneholder #Auth substack passord-auth. Hvis du finner denne linjen i din /etc /pam.d./sshd, kommenter det.

Lagre /etc /pam.d./sshd og rediger filen /etc/ssh/sshd_config Som vist i eksemplet nedenfor:

Nano/etc/ssh/sshd_config

Finn linjen:

#CHALLENGERESPONSEAUTHENTICATION NR

Ukomment på det og erstatt Nei med ja:

ChallengerSponseAuthentication Ja

Avslutt å lagre endringer og starte SSH -tjenesten på nytt:

sudo SystemCTL omstart SSHD.service

Du kan teste tofaktorautentisering ved å koble til din localhost som vist nedenfor:

ssh localhost

Du kan finne koden i Google Authentication Mobile -appen din. Uten denne koden vil ingen kunne få tilgang til enheten din via SSH. Merk: Denne koden endres etter 30 sekunder. Derfor må du bekrefte det raskt.

Som du ser fungerte 2FA -prosessen. Nedenfor kan du finne instruksjonene for en annen 2FA -implementering ved hjelp av SMS i stedet for en mobilapp.

Linux to-faktor autentisering ved bruk av Authy-SSH (SMS)

Du kan også implementere tofaktorautentisering ved hjelp av Authy (Twilio). For dette eksemplet vil det ikke være nødvendig med en mobilapp, og prosessen vil bli gjort gjennom SMS -verifisering.

For å komme i gang, gå til https: // www.Twilio.com/prøve-twilio og fyll inn registreringsskjemaet.

Skriv og bekrefte telefonnummeret ditt:

Kontroller telefonnummeret ved å bruke koden sendt av SMS:

Når du er registrert, gå til https: // www.Twilio.com/konsoll/autoritet og trykk på Kom i gang knapp:

Klikk på Bekreft telefonnummer Knapp og følg trinnene for å bekrefte nummeret ditt:

Bekreft nummeret ditt:

Når du er bekreftet, gå tilbake til konsollen ved å klikke på Gå tilbake til konsoll:

Velg et navn for API og klikk på Opprett applikasjon:

Fyll ut den forespurte informasjonen og trykk Gjør forespørsel:

Plukke ut SMS -token og trykk Gjør forespørsel:

Gå til https: // www.Twilio.com/konsoll/autoris/applikasjoner og klikk på applikasjonen du opprettet i de foregående trinnene:

Når du er valgt, vil du se i venstre meny alternativet Innstillinger. Klikk på Innstillinger og kopier Produksjon API -nøkkel. Vi vil bruke den i følgende trinn:

Fra konsollen, last ned Authy-Ssh Kjører følgende kommando:

git klon https: // github.com/autoris/autoris-ssh

Skriv deretter inn Authy-SSH-katalogen:

CD Authy-Ssh

Inne i Authy-SSH-katalogkjøringen:

sudo bash authy-ssh install/usr/local/bin

Du blir bedt om å lime inn Produksjon API -nøkkel Jeg ba deg kopiere, lime inn og trykke på TAST INN å fortsette.

Når du blir spurt om standardhandling når API.Authy.com kan ikke kontaktes, velg 1. Og trykk TAST INN.

Merk: Hvis du limer inn en feil API -nøkkel, kan du redigere den i filen /usr/local/bin/authy-ssh.konf Som vist på bildet nedenfor. Erstatt innholdet etter “API_Key =” med API -tasten din:

Aktiver Authy-SSH ved å løpe:

sudo/usr/local/bin/authy-ssh enable 'whoami'

Fyll den nødvendige informasjonen og trykk Y:

Du kan teste Authy-SSH-utføring:

Authy-Ssh-test

Som du ser fungerer 2FA ordentlig. Start SSH -tjenesten på nytt, løp:

sudo service ssh omstart

Du kan også teste det ved å koble til SSH til Localhost:

Som illustrert jobbet 2FA med suksess.

Authy tilbyr ytterligere 2FA -alternativer, inkludert verifisering av mobilapper. Du kan se alle tilgjengelige produkter på https: // autoris.com/.

Konklusjon:

Som du kan se, kan 2FA enkelt implementeres av et hvilket som helst Linux -brukernivå. Begge alternativene som er nevnt i denne opplæringen kan brukes i løpet av få minutter.

SSH-Authy er et utmerket alternativ for brukere uten smarttelefoner som ikke kan installere en mobilapp.

To-trinns verifiseringsimplementering kan forhindre enhver form for påloggingsbasert angrep, inkludert sosialtekniske angrep, hvorav mange ble foreldet med denne teknologien fordi offerpassordet ikke er nok til å få tilgang til offerinformasjonen.

Andre Linux 2FA -alternativer inkluderer Freeotp (Red Hat), World Authenticator, og OTP -klient, men noen av disse alternativene tilbyr bare dobbel autentisering fra samme enhet.

Jeg håper du fant denne opplæringen nyttig. Fortsett å følge Linux -hint for flere Linux -tips og opplæringsprogrammer.

C ++
Hvordan kompilere og kjøre et C ++ -program i en Linux -terminal
For å kompilere og kjøre et C ++ -program i en Linux -terminal, bruk G ++ -kompilatoren. For mer inf...
Lars Solberg
C programmering
Hvordan sortere matriser med Qsort i C
QSort er en kraftig funksjon i C -programmering for sortering av matriser av alle typer. Følg denne ...
Martin Berge
Aws
Hva er Amazon Elasticache? En nybegynnervennlig guide
Amazon Elasticache brukes til å distribuere, og kjøre datalagre ved hjelp av Redis eller Memcached -...
Elias Aalerud Aasen
Python
Hvordan pakke ut filer i Python
Mathias Halvorsen
Python
Python teller forekomster i listen
Erik Røed
Golang
Hvordan konvertere streng til heltallstype i Golang?
Daniel Johnsen
JavaScript
Hva gjør ATOB -metoden i JavaScript
Elias Krogh Svendsen
PHP
Hva er en udefinert indeksfeil i PHP og hvordan du fikser den?
Mathias Halvorsen
Kraftskall
Kan du forklare funksjonaliteten til PowerShells kommando?
Elias Krogh Svendsen
Kraftskall
Hvordan bruke kommandoen “Get-Service” i PowerShell
Mathias Halvorsen
Oracle Database
Hvordan slette sekvens i Oracle?
Lars Solberg
C skarp
Hvordan bruke arv i C#
Lars Solberg
C ++
C ++ program for å konvertere desimal til binær
Elias Krogh Svendsen