Wenn Sie jedoch nur einen Benutzernamen und ein Passwort zum Zugriff auf SSH verwenden. Hier ist die Multi-Faktor-Authentifizierung (MFA) nützlich.
Es handelt sich um eine zusätzliche Sicherheitsebene, bei der die Benutzer zwei oder mehr Authentifizierungsformen zur Verfügung stellen müssen, um auf ein System zuzugreifen. Durch die Anforderung, dass die Benutzer mehrere Faktoren darstellen, kann MFA die Sicherheit des SSH -Zugriffs erheblich verbessern.
MFA ist für Systeme, die sensible oder vertrauliche Daten verarbeiten. Durch die Implementierung von MFA können Sie die Sicherheit Ihres Linux -Systems erheblich verbessern und Ihre Daten und Vermögenswerte besser schützen.
Dieser Artikel zeigt zum Installieren, Konfigurieren und Aktivieren von MFA für SSH -Zugriff auf Linux -Systemen. Wir werden die erforderlichen Schritte zum Einrichten einer unterstützten MFA -Methode wie Google Authenticator oder Duo Security skizzieren und das Setup für SSH -Zugriff testen.
Vorbereitung Ihres Linux -Systems für MFA
Vor der Installation und Konfiguration von MFA auf Ihrem Linux-System ist es entscheid. Aktualisieren Sie Ihr System mit dem folgenden Dienstprogramm:
sudo apt update && sudo apt upgrade -y
Sobald Ihr System aktuell ist, müssen Sie das PAM-Paket (Pluggable Authentication Module) installieren, mit dem MFA für SSH.
Installieren und Konfigurieren einer unterstützten MFA -Methode
Für den SSH -Zugriff sind mehrere MFA -Methoden verfügbar, darunter Google Authenticator, Duo Security und Yubikey. In diesem Abschnitt konzentrieren wir uns auf die Konfiguration des Google-Authentikators, der eine weit verbreitete und leicht zu setzende MFA-Methode für SSH ist.
Hier sind die Schritte zur Installation und Konfiguration des Google Authenticator für SSH MFA:
Schritt 1: Erstellen Sie einen neuen Benutzer
Zuerst müssen Sie einen neuen Benutzer für SSH -Zugriff erstellen. Sie können einen neuen Benutzer erstellen, indem Sie den folgenden Code ausführen:
sudo adduser
Ersetzen mit dem entsprechenden Namen des Benutzers, den Sie erstellen möchten.
Schritt 2: Wechseln Sie zum neuen Benutzer
Wechseln Sie als nächstes zum neuen Benutzer, indem Sie den folgenden Befehl ausführen:
su -
Ihr System fordert Sie auf, das Kennwort für den neuen Benutzer einzugeben.
Schritt 3: Installieren Sie den Google Authenticator
Installieren Sie den Google Authenticator mit diesem Dienstprogramm:
sudo apt installieren libpam-Google-authenticator -y
Das Folgende ist eine Beispielausgabe für den vorherigen Befehl:
Diese Ausgabe zeigt den Paketmanager, der „passend“ ist und das Paket „libpam-Google-Authenticator“ und seine Abhängigkeiten installiert, die "libqrencodes4" lautet. Die Option -y bestätigt automatisch die Installationsaufforderung. Das Ergebnis zeigt auch den Fortschritt des Installationsprozesses, einschließlich des Herunterladens und Installierens der Pakete und des verwendeten zusätzlichen Speicherplatzes, der verwendet wird. Schließlich zeigt es, dass die Installation und alle relevanten Auslöser für die Verarbeitung nach der Installation erfolgreich sind.
Schritt 4: Generieren Sie einen neuen geheimen Schlüssel
Dieses Dienstprogramm hilft Ihnen dabei, einen neuen geheimen Schlüssel für den Benutzer zu generieren:
Google-Authenticator
Ihr System fordert Sie auf, einige Fragen zu beantworten, einschließlich der folgenden:
Sie können die Standardwerte für die meisten Fragen akzeptieren. Für die Frage jedoch “Möchten Sie, dass ich Ihr „/home //.Google_authenticator ”Datei?"Wählen Sie" Y "aus, um die Konfigurationsdatei zu aktualisieren.
Die vorherige Befehlszeile generiert einen neuen geheimen Schlüssel für den Benutzer, der zum Erstellen von einmaligen Passwörtern für MFA verwendet wird.
Schritt 5: Öffnen Sie die Authenticator -App auf Ihrem Telefon
Öffnen Sie die Google Authenticator -App auf Ihrem Smartphone und scannen Sie den QR -Code, der auf dem Bildschirm angezeigt wird. Dies fügt den neuen Benutzer Ihrer Google Authenticator -App hinzu.
Schritt 6: Bearbeiten Sie die Konfigurationsdatei
Bearbeiten Sie die SSH -Konfigurationsdatei, indem Sie den folgenden Befehl ausführen:
sudo nano/etc/ssh/sshd_config
Fügen Sie die folgende Zeile am Ende der Datei hinzu:
ChallengerePonseAthentication Ja
Diese Zeile ermöglicht die Challenge-Response-Authentifizierung für SSH.
Schritt 7: Bearbeiten Sie die PAM -Konfigurationsdatei
Dieser Befehl bearbeitet die PAM -Konfigurationsdatei für SSH:
sudo nano /etc /pam.D/SSHD
Fügen Sie die folgende Zeile am Ende der Datei hinzu, um diesen Schritt abzuschließen:
AUTOR ERFORDERUNG PAM_GOOGLE_Authenticator.So
Dieses Dienstprogramm ermöglicht das Google Authenticator -Modul für SSH.
Schritt 8: Speichern Sie Ihre Änderungen
Speichern Sie die Änderungen an den Konfigurationsdateien und starten Sie den SSH -Dienst mit dem folgenden Befehl neu:
sudo Service SSH Neustart
Dieser Befehl startet den SSH -Dienst mit der neuen Konfiguration neu.
Wenn Sie sich mit SSH bei Ihrem Linux-System anmelden, werden Sie für ein einmaliges Kennwort aufgefordert, das von der Google Authenticator-App generiert wird. Geben Sie das einmalige Passwort ein, um den Anmeldevorgang abzuschließen.
Testen Sie Ihr MFA -Setup für SSH -Zugriff
Sobald Sie den MFA für SSH auf Ihrem Linux -System installiert und konfiguriert haben, ist es wichtig, das Setup zu testen, um sicherzustellen, dass er korrekt funktioniert. Hier sind die Schritte, um Ihr MFA -Setup für SSH -Zugriff zu testen:
1. Öffnen Sie ein neues Terminalfenster und stellen Sie eine Verbindung zu Ihrem Linux -System mit SSH her, wie Sie es normalerweise tun würden. Zum Beispiel:
ssh@
Ersetze das mit dem genauen Namen des Benutzers, den Sie zuvor erstellt haben und die mit der IP -Adresse oder dem Hostnamen Ihres Linux -Systems. In diesem Fall verwenden wir Victoria als Benutzername. Die Ausgabe sieht aus wie in der folgenden Abbildung:
In diesem Beispiel verwenden wir den SSH -Befehl, um sich mit der IP -Adresse von bei einer Remote -Maschine anzumelden 192.168.1.100 Als Benutzer "Victoria". Der Befehl fordert zur Bestätigung der Authentizität des Remote -Hosts auf und fragt dann nach dem Passwort für den Benutzer "Victoria". Nach der Authentifizierung werden wir mit der Shell -Eingabeaufforderung auf der Fernmaschine begrüßt, was darauf hinweist, dass wir eine SSH -Sitzung erfolgreich erstellt haben.
2. Geben Sie das Passwort für den Benutzer ein, wenn Sie aufgefordert werden.
3. Nach der Eingabe des Passworts sollten Sie für ein einmaliges Passwort von Ihrer MFA-App aufgefordert werden. Öffnen Sie die Google Authenticator -App auf Ihrem Smartphone und geben Sie den Code ein, der dem zuvor erstellten Benutzer entspricht.
4. Wenn das einmalige Passwort korrekt ist, sollten Sie sich bei Ihrem Linux-System angemeldet haben. Wenn das Passwort falsch ist, werden Sie aufgefordert, einen anderen Code aus der MFA -App einzugeben.
5. Sobald Sie erfolgreich angemeldet sind, können Sie überprüfen, ob MFA korrekt funktioniert, indem Sie die SSH -Protokolle überprüfen. Führen Sie dieses Dienstprogramm aus, um die Protokolle anzuzeigen:
sudo tail -f/var/log/auth.Protokoll
Der vorherige Befehl zeigt die SSH-Authentifizierungsprotokolle in Echtzeit an.
Suchen Sie nach einer Zeile im Protokoll mit der Aufschrift „Annahme von PublicKey für“, gefolgt von „akzeptiertem Tastaturinteraktiven/PAM für“.
17. April 10:45:24 Server SSHD [2998]: Accept PublicKey für Victoria von 192 angenommen.168.0.2 Port 57362 SSH2: RSA SHA256: xxxxxxxxxxxxxxxxxxxxx
17. April 10:45:27 Server SSHD [2998]: Akzeptiertes Tastaturinteraktiver/PAM für Victoria von 192.168.0.2 Port 57362 SSH2
Zum Beispiel:
Die ersten beiden Zeilen zeigen, dass der Benutzer „Victoria“ erfolgreich über eine öffentliche Schlüssel- und Tastaturinteraktoren der IP-Adresse von 192 authentifiziert wird.168.0.2.
Wenn alles richtig funktioniert, können Sie sich mit SSH mit aktiviertem MFA bei Ihrem Linux -System anmelden.
Abschluss
Das Implementieren der Multi-Factor-Authentifizierung (MFA) für SSH-Zugriff auf Ihrem Linux-System kann die Sicherheit Ihres Systems erheblich verbessern, indem eine zusätzliche Authentifizierungsschicht hinzugefügt wird. MFA fordert die Benutzer zusätzlich zu ihrem regulären Passwort ein einmaliges Kennwort an, und macht es den Angreifern viel schwieriger, Zugriff auf Ihr System zu erhalten.