Diese Anleitung bietet einen Überblick über die Einrichtung der Zwei-Faktor-Authentifizierung (2FA) mit Google® Authenticator™.
Viele Menschen verwenden Google Authenticator, um ihre Google-Apps wie Gmail™ zu sichern. Sie können jedoch auch die Zwei-Faktor-Authentifizierung für Ihre Secure Shell (SSH)-Anmeldungen verwenden.
Die Verwendung von SSH kann Sie davor schützen, versehentlich schwache Kennwörter zu verwenden, die zu einem erfolgreichen Brute-Force-Angriff führen können. Diese Anleitung zeigt Ihnen, wie Sie Google Authenticator auf Servern implementieren, auf denen CentOS® 6- und Ubuntu® 12.04-Linux®-Distributionen ausgeführt werden.
Wichtig :Nachdem Sie die Schritte in diesem Handbuch ausgeführt haben, müssen alle Ihre Benutzer (einschließlich Root) Google Authenticator verwenden, um eine Verbindung über SSH herzustellen, es sei denn, Sie haben bereits SSH-Schlüssel eingerichtet. Wenden Sie sich an Ihre Verwaltungsteams, bevor Sie Google Authenticator einrichten, um sicherzustellen, dass Sie deren Zugriff nicht versehentlich deaktivieren oder sich von der Verwendung von SSH ausschließen.
Modul installieren
Um das Google Authenticator-Modul zu installieren, öffnen Sie eine Befehlszeilenschnittstelle (CLI) und folgen Sie den Anweisungen, die Ihrer Distribution entsprechen.
Red Hat 6-basierte Systeme
Installieren Sie das Modul unter Red Hat® 6, indem Sie die folgenden Befehle ausführen:
rpm -ivh https://linux.mirrors.es.net/fedora-epel/6/x86_64/epel-release-6-7.noarch.rpm
yum install google-authenticator
Debian-basierte Systeme
Verwenden Sie die folgenden Schritte, um das Modul auf Debian®-basierten Systemen zu installieren:
-
Installieren Sie das Modul unter Debian, indem Sie den folgenden Befehl ausführen:
aptitude install libpam-google-authenticator -
Öffnen Sie als Nächstes /etc/pam.d/sshd Datei und fügen Sie die folgende Zeile am Ende der auth hinzu Abschnitt:
auth required pam_google_authenticator.so -
Öffnen Sie Ihre /etc/ssh/sshd_config Datei und ändern Sie
ChallengeResponseAuthentication nozuChallengeResponseAuthentication yes. -
Verwenden Sie den folgenden Befehl, um
sshdneu zu starten :-
Auf Red Hat:
service sshd restart -
Auf dem Ubuntu-Betriebssystem:
service ssh restart
-
Schlüssel für den Benutzer einrichten
Verwenden Sie die folgenden Schritte, um Schlüssel für den Benutzer einzurichten:
-
Führen Sie den folgenden Befehl aus:
google-authenticator -
Antworten Sie mit
yeswenn Sie aufgefordert werden, Ihre ~/.google_authenticator-Datei zu aktualisieren und geben Sie Antworten auf die nächsten drei Eingabeaufforderungen.
Nachdem Sie diese Schritte ausgeführt haben, sehen Sie die folgenden Informationen:
- Neuer geheimer Schlüssel
- Bestätigungscode
- Rubbelcodes für Notfälle
Verwenden Sie den neuen geheimen Schlüssel, um das Konto zur GoogleAuthenticator-App Ihres Telefons hinzuzufügen. Notieren Sie sich die Notfall-Scratch-Codes und bewahren Sie sie an einem sicheren Ort auf. Sie können sie verwenden, wenn Sie Ihr Smartphone verlieren oder sich anderweitig bei Ihrem Konto anmelden müssen, ohne die Google Authenticator-App Ihres Telefons zu verwenden.
Wenn Sie sich nun unter Ihrem Benutzerkonto auf Ihrem Server anmelden, werden Sie nach Ihrem Google-Authentifizierungstoken und Ihrem Standardpasswort für den Server gefragt. Alle Konten, die diese Einrichtung nicht haben, dürfen sich nicht anmelden.