Linux to-faktor autentisering

Elias Krogh Svendsen
Linux to-faktor autentisering
To-faktorautentisering (2FA) er en påloggingsprosess som består av en dobbel autentiseringsmekanisme. De fleste kjente implementeringer inkluderer klassisk SMS- eller e -postkodebekreftelse for nye/ukjente nettlesere og enheter.

I dette scenariet, selv om en hacker får en PayPal eller hosting -passord, vil han ikke kunne logge seg på uten bekreftelseskoden sendt til offerets telefon eller e -post.

Implementering av tofaktorautentisering er en av de beste praksisene for å beskytte vår e-post, sosiale nettverkskontoer, hosting og mer. Dessverre er systemet vårt ikke unntaket.

Denne opplæringen viser hvordan du implementerer tofaktorautentiseringen for å beskytte din SSH-tilgang ved hjelp av Google Authenticator eller Authy-SSH. Google Authenticator lar deg bekrefte en pålogging ved hjelp av mobilappen, mens Authy-SSH kan implementeres uten en app som bruker SMS-verifisering.

Linux tofaktorautentisering ved hjelp av Google Authenticator

Merk: Vær så snill, før du fortsetter, må du sørge for at du har Google Authenticator installert på mobilenheten din.

For å starte, utfør følgende kommando for å installere Google Authenticator (Debian-baserte Linux-distribusjoner):

sudo apt install libpam-google-authenticator -y

For å installere Google Authenticator på Red Hat-baserte Linux-distribusjoner (CentOS, Fedora), kjør følgende kommando:

sudo dnf installer google -authenticator -y

Når du er installert, kjør Google Authenticator som vist på skjermdumpen nedenfor.

Google-Authenticator

Som du kan se, dukker det opp en QR -kode. Du må legge til den nye kontoen ved å klikke på + Ikonet i mobilen Google Authenticator -appen og velg Skann QR kode.

Google Authenticator vil også gi sikkerhetskopieringskoder du trenger å skrive ut og lagre i tilfelle du mister tilgangen til mobilenheten din.

Du vil bli stilt noen spørsmål, som er detaljert nedenfor, og du kan godta alle standardalternativer ved å velge Y For alle spørsmål:

  • Etter å ha skannet QR -koden, vil installasjonsprosessen kreve tillatelse til å redigere hjemmet ditt. trykk Y å fortsette til neste spørsmål.
  • Det andre spørsmålet anbefaler å deaktivere flere pålogginger ved å bruke den samme bekreftelseskoden. trykk Y å fortsette.
  • Det tredje spørsmålet refererer til utløpstimingen for hver genererte kode. Igjen, du kan tillate tid skjevt, trykk Y å fortsette.
  • Aktiver hastighetsbegrensning, opptil 3 innloggingsforsøk hvert 30.-tallet. trykk Y å fortsette.

Når Google Authenticator er installert, må du redigere filen /etc/pam.d/sshd For å legge til en ny autentiseringsmodul. Bruk Nano eller en hvilken som helst annen redaktør som vist på skjermdumpen nedenfor for å redigere filen /etc /PAM.D/SSHD:

Nano /etc /pam.d/sshd

Legg til følgende linje til /etc /pam.d/sshd som vist på bildet nedenfor:

AUTH krevde PAM_GOOGLE_AUTHENTICATOR.Så Nullok

Merk: Red Hat -instruksjoner nevner en linje som inneholder #Auth substack passord-auth. Hvis du finner denne linjen i din /etc /pam.d./sshd, kommenter det.

Lagre /etc /pam.d./sshd og rediger filen /etc/ssh/sshd_config Som vist i eksemplet nedenfor:

Nano/etc/ssh/sshd_config

Finn linjen:

#CHALLENGERESPONSEAUTHENTICATION NR

Ukomment på det og erstatt Nei med ja:

ChallengerSponseAuthentication Ja

Avslutt å lagre endringer og starte SSH -tjenesten på nytt:

sudo SystemCTL omstart SSHD.service

Du kan teste tofaktorautentisering ved å koble til din localhost som vist nedenfor:

ssh localhost

Du kan finne koden i Google Authentication Mobile -appen din. Uten denne koden vil ingen kunne få tilgang til enheten din via SSH. Merk: Denne koden endres etter 30 sekunder. Derfor må du bekrefte det raskt.

Som du ser fungerte 2FA -prosessen. Nedenfor kan du finne instruksjonene for en annen 2FA -implementering ved hjelp av SMS i stedet for en mobilapp.

Linux to-faktor autentisering ved bruk av Authy-SSH (SMS)

Du kan også implementere tofaktorautentisering ved hjelp av Authy (Twilio). For dette eksemplet vil det ikke være nødvendig med en mobilapp, og prosessen vil bli gjort gjennom SMS -verifisering.

For å komme i gang, gå til https: // www.Twilio.com/prøve-twilio og fyll inn registreringsskjemaet.

Skriv og bekrefte telefonnummeret ditt:

Kontroller telefonnummeret ved å bruke koden sendt av SMS:

Når du er registrert, gå til https: // www.Twilio.com/konsoll/autoritet og trykk på Kom i gang knapp:

Klikk på Bekreft telefonnummer Knapp og følg trinnene for å bekrefte nummeret ditt:

Bekreft nummeret ditt:

Når du er bekreftet, gå tilbake til konsollen ved å klikke på Gå tilbake til konsoll:

Velg et navn for API og klikk på Opprett applikasjon:

Fyll ut den forespurte informasjonen og trykk Gjør forespørsel:

Plukke ut SMS -token og trykk Gjør forespørsel:

Gå til https: // www.Twilio.com/konsoll/autoris/applikasjoner og klikk på applikasjonen du opprettet i de foregående trinnene:

Når du er valgt, vil du se i venstre meny alternativet Innstillinger. Klikk på Innstillinger og kopier Produksjon API -nøkkel. Vi vil bruke den i følgende trinn:

Fra konsollen, last ned Authy-Ssh Kjører følgende kommando:

git klon https: // github.com/autoris/autoris-ssh

Skriv deretter inn Authy-SSH-katalogen:

CD Authy-Ssh

Inne i Authy-SSH-katalogkjøringen:

sudo bash authy-ssh install/usr/local/bin

Du blir bedt om å lime inn Produksjon API -nøkkel Jeg ba deg kopiere, lime inn og trykke på TAST INN å fortsette.

Når du blir spurt om standardhandling når API.Authy.com kan ikke kontaktes, velg 1. Og trykk TAST INN.

Merk: Hvis du limer inn en feil API -nøkkel, kan du redigere den i filen /usr/local/bin/authy-ssh.konf Som vist på bildet nedenfor. Erstatt innholdet etter “API_Key =” med API -tasten din:

Aktiver Authy-SSH ved å løpe:

sudo/usr/local/bin/authy-ssh enable 'whoami'

Fyll den nødvendige informasjonen og trykk Y:

Du kan teste Authy-SSH-utføring:

Authy-Ssh-test

Som du ser fungerer 2FA ordentlig. Start SSH -tjenesten på nytt, løp:

sudo service ssh omstart

Du kan også teste det ved å koble til SSH til Localhost:

Som illustrert jobbet 2FA med suksess.

Authy tilbyr ytterligere 2FA -alternativer, inkludert verifisering av mobilapper. Du kan se alle tilgjengelige produkter på https: // autoris.com/.

Konklusjon:

Som du kan se, kan 2FA enkelt implementeres av et hvilket som helst Linux -brukernivå. Begge alternativene som er nevnt i denne opplæringen kan brukes i løpet av få minutter.

SSH-Authy er et utmerket alternativ for brukere uten smarttelefoner som ikke kan installere en mobilapp.

To-trinns verifiseringsimplementering kan forhindre enhver form for påloggingsbasert angrep, inkludert sosialtekniske angrep, hvorav mange ble foreldet med denne teknologien fordi offerpassordet ikke er nok til å få tilgang til offerinformasjonen.

Andre Linux 2FA -alternativer inkluderer Freeotp (Red Hat), World Authenticator, og OTP -klient, men noen av disse alternativene tilbyr bare dobbel autentisering fra samme enhet.

Jeg håper du fant denne opplæringen nyttig. Fortsett å følge Linux -hint for flere Linux -tips og opplæringsprogrammer.

Golang
Hva er Golang Testing Package?
Golang -testpakken inneholder flere verktøy og funksjoner som gjør det lettere å teste, feilsøke og ...
Oskar Fossum
Kraftskall
Hvordan bruke kommandoen “Start-Sleep” i PowerShell?
Start-Sleep Cmdlet i PowerShell er ansvarlig for å suspendere en aktivitet eller pause en økt for en...
Oskar Fossum
Bash -programmering
Hvordan du fikser - bash pip -kommando ikke funnet
De...
Anders Fjeld Moe
Python
Numpy astype
Elias Krogh Svendsen
JavaScript
Hva gjør W Metacharacter i regexp av JavaScript
Jørgen Christiansen
Golang
Hva er arv i Golang
Jørgen Christiansen
Java
Hvordan konvertere et kart til en streng i Java?
Mathias Halvorsen
Oracle Linux
Hva er forskjellen mellom Oracle VirtualBox og VMware?
Lars Solberg
Aws
Hvordan bruke AWS Systems Manager Session Manager?
Daniel Johnsen
MySQL MariaDB
Hvordan finne en spesifikk karakter i MySQL?
Lars Solberg
C skarp
Hvordan bruke arv i C#
Lars Solberg
C skarp
Hva er konstante variabler i C#
Erik Røed
C skarp
Hva er bryteruttrykk i C#
Simen Stensrud