Es gibt mehrere Dinge, die Sie tun können, um Ihr SSH zu sichern und zu schützen. Eine davon ist die Verwendung von Google Authenticator und die Erstellung einer Zwei-Faktor-Authentifizierung auf Ihrem CentOS VPS. Google Authenticator bietet Ihnen eine zusätzliche Sicherheitsebene, indem es zeitbasierte Einmalpasswörter (TOTP) auf Ihrem Smartphone generiert, die Sie zusammen mit Ihrem Benutzernamen und Passwort eingeben müssen, um sich über SSH beim Server anzumelden.
Im heutigen Blogartikel erklären wir, wie Sie Google Authenticator aus der Quelle installieren und SSH für die Zwei-Faktor-Authentifizierung konfigurieren.
Aktualisieren Sie zunächst Ihren virtuellen CentOS-Server
yum -y update
Installieren Sie als Nächstes die Datei „pam-devel ‘-Paket, mit dem Sie Authentifizierungsrichtlinien festlegen können, ohne Programme neu kompilieren zu müssen, die die Authentifizierung handhaben.
yum -y install pam-devel
Stellen Sie sicher, dass ntpd installiert ist und ausgeführt wird, da die TOTP-Sicherheitstoken zeitkritisch sind
yum -y install ntp /etc/init.d/ntpd start chkconfig ntpd on
Laden Sie das Google Authenticator-Paket herunter und entpacken Sie es
cd /opt/ wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2 tar -xvzf libpam-google-authenticator-1.0-source.tar.bz2 cd libpam-google-authenticator-1.0
Kompilieren und installieren Sie das Google Authenticator-Modul
make make install
Führen Sie jetzt den Google-Authentifikator auf Ihrem Server aus und beantworten Sie alle Fragen
google-authenticator Do you want authentication tokens to be time-based (y/n) y https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@YOURHOSTNAME%3Fsecret%3DWYD4YCGEE5N4M3LA Your new secret key is: WYD4YCGEE5N4M3LA Your verification code is 188127 Your emergency scratch codes are: 60086389 28918071 88502143 60873576 90892542 Do you want me to update your "/root/.google_authenticator" file (y/n) y Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) y By default, tokens are good for 30 seconds and in order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. If you experience problems with poor time synchronization, you can increase the window from its default size of 1:30min to about 4min. Do you want to do so (y/n) y If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting (y/n) y
Öffnen Sie die nach Beantwortung der ersten Frage angegebene URL und scannen Sie den QR-Code mit der Google Authenticator-Anwendung auf Ihrem Smartphone. Das ist alles. Alle 30 Sekunden wird ein neuer Bestätigungscode generiert.
Jetzt müssen Sie den Google-Authentifikator für SSH-Anmeldungen aktivieren. Öffnen Sie die Konfigurationsdatei von PAM
vi /etc/pam.d/sshd
Und fügen Sie oben die folgende Zeile hinzu
auth required pam_google_authenticator.so
Öffnen Sie die SSH-Konfigurationsdatei und stellen Sie sicher, dass die Datei „ChallengeResponseAuthentication ‘ line is set to yes
ChallengeResponseAuthentication yes
Speichern Sie die Änderungen und starten Sie den SSH-Dienst neu:
service sshd restart
Jetzt werden Sie jedes Mal, wenn Sie versuchen, eine SSH-Verbindung zu Ihrem Server herzustellen, aufgefordert, den Bestätigungscode einzugeben, der in Ihrer Google Authenticator-Anwendung angezeigt wird.
login as: Verification code: Password:
Wenn Sie einer unserer Linux-VPS-Hosting-Kunden sind, müssen Sie dies natürlich nicht tun. Fragen Sie einfach unsere Administratoren, lehnen Sie sich zurück und entspannen Sie sich. Unsere Admins werden dies umgehend für Sie einrichten. Informationen zu Updates finden Sie unter Sicheres SSH mit Zwei-Faktor-Authentifizierung unter Ubuntu 16.04.
PS. Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn bitte mit Ihren Freunden in den sozialen Netzwerken über die Schaltflächen auf der linken Seite oder hinterlassen Sie einfach unten eine Antwort. Danke.