Linux-Zwei-Faktor-Authentifizierung
In diesem Szenario kann er sich nicht anmelden, wenn ein Hacker ein PayPal- oder Hosting -Passwort erhält, ohne dass der Bestätigungscode an das Telefon oder E -Mail des Opfers gesendet wird.
Die Implementierung der Zwei-Faktor-Authentifizierung ist eine der besten Praktiken, um unsere E-Mails, soziale Netzwerkkonten, Hosting und mehr zu schützen. Leider ist unser System nicht die Ausnahme.
Dieses Tutorial zeigt, wie die Zwei-Faktor-Authentifizierung implementiert wird, um Ihren SSH-Zugriff mithilfe von Google Authenticator oder Authy-SSH zu schützen. Mit Google Authenticator können Sie eine Anmeldung über die mobile App überprüfen, während Authy-SSH ohne eine App mit der SMS-Überprüfung implementiert werden kann.
Linux-Zwei-Faktor-Authentifizierung mit Google Authenticator
Notiz: Bitte stellen Sie vor dem Fortfahren sicher, dass der Google Authenticator auf Ihrem mobilen Gerät installiert ist.
Führen Sie zunächst den folgenden Befehl aus, um Google Authenticator (Debian-basierte Linux-Distributionen) zu installieren:
sudo apt installieren libpam-Google-authenticator -y
Um den Google Authenticator auf Red Hat-basierten Linux-Verteilungen (CentOS, Fedora) zu installieren, führen Sie den folgenden Befehl aus:
sudo dnf installieren Sie Google -Authenticator -y
Führen Sie nach der Installation den Google Authenticator aus, wie im folgenden Screenshot gezeigt.
Google-Authenticator
Wie Sie sehen können, wird ein QR -Code angezeigt. Sie müssen das neue Konto hinzufügen, indem Sie auf die klicken + Symbol in Ihrer mobilen Google Authenticator -App und wählen Sie QR-Code scannen.
Google Authenticator bietet auch Sicherungscodes an, die Sie zum Drucken und Speichern benötigen, falls Sie den Zugriff auf Ihr mobiles Gerät verlieren.
Sie werden einige Fragen gestellt, die unten detailliert aufgeführt sind, und Sie können alle Standardoptionen durch Auswahl annehmen Y Für alle Fragen:
- Nach dem Scannen des QR -Codes erfordert der Installationsprozess die Erlaubnis zur Bearbeitung Ihres Hauses. Drücken Sie Y Um die nächste Frage fortzusetzen.
- In der zweiten Frage wird empfohlen, mehrere Anmeldungen mit demselben Verifizierungscode zu deaktivieren. Drücken Sie Y weitermachen.
- Die dritte Frage bezieht sich auf den Ablaufzeitpunkt für jeden generierten Code. Auch hier können Sie Zeit verzerrt, drücken Sie Y weitermachen.
- Aktivieren Sie die Rate-Limiting, bis zu 3 Anmeldungen in Versuchen alle 30er Jahre. Drücken Sie Y weitermachen.
Sobald Google Authenticator installiert ist, müssen Sie die Datei bearbeiten /etc/pam.D/SSHD um ein neues Authentifizierungsmodul hinzuzufügen. Verwenden Sie Nano oder einen anderen Editor, wie im folgenden Screenshot gezeigt, um die Datei /etc /pam zu bearbeiten.D/SSHD:
Nano /etc /pam.D/SSHD
Fügen Sie die folgende Zeile zu /etc /pam hinzu.D/SSHD, wie im Bild unten gezeigt:
AUTOR ERFORDERUNG PAM_GOOGLE_Authenticator.Also Nullok
Notiz: Red Hat -Anweisungen erwähnen eine Linie, die enthält #Auth Substack Passwort-Auth. Wenn Sie diese Zeile in Ihrem /etc /pam finden.D./sshd, kommentieren Sie es.
Speichern /etc /pam.D./SSHD und bearbeiten Sie die Datei /etc/ssh/sshd_config Wie im folgenden Beispiel gezeigt:
Nano/etc/ssh/sshd_config
Finden Sie die Linie:
#ChallengerePonseAthentication Nr
Sich anziehen und ersetzen NEIN mit Ja:
ChallengerePonseAthentication Ja
Verlassen Sie die Änderungen des Speicherns und starten Sie den SSH -Dienst neu:
sudo systemctl starten sshd neu.Service
Sie können die Zwei-Faktor-Authentifizierung testen, indem Sie sich wie unten gezeigt an Ihren Localhost herstellen:
ssh localhost
Sie finden den Code in Ihrer Google Authentication Mobile App. Ohne diesen Code kann niemand über SSH auf Ihr Gerät zugreifen. Hinweis: Dieser Code ändert sich nach 30 Sekunden. Daher müssen Sie es schnell überprüfen.
Wie Sie sehen können, funktionierte der 2FA -Prozess erfolgreich. Im Folgenden finden Sie die Anweisungen für eine andere 2FA -Implementierung mit SMS anstelle einer mobilen App.
Linux-Zwei-Faktor-Authentifizierung mit Authy-SSH (SMS)
Sie können die Zwei-Faktor-Authentifizierung auch mit Authy (Twilio) implementieren. In diesem Beispiel ist keine mobile App erforderlich, und der Vorgang erfolgt über die Überprüfung der SMS.
Um loszulegen, gehen Sie zu https: // www.Dämmerung.com/try-twilio und füllen Sie das Registrierungsformular aus.
Schreiben und überprüfen Sie Ihre Telefonnummer:
Überprüfen Sie die Telefonnummer mit dem von SMS gesendeten Code:
Nach der Registrierung gehen Sie zu https: // www.Dämmerung.com/console/authy und drücken Sie die Loslegen Taste:
Drücke den Überprüfen Sie die Telefonnummer Schaltfläche und befolgen Sie die Schritte, um Ihre Nummer zu bestätigen:
Überprüfen Sie Ihre Nummer:
Kehren Sie nach der Überprüfung zur Konsole zurück, indem Sie darauf klicken Rückkehr zur Konsole:
Wählen Sie einen Namen für die API aus und klicken Sie auf Anwendung erstellen:
Füllen Sie die angeforderten Informationen ein und drücken Sie Anfrage stellen:
Wählen SMS -Token und drücke Anfrage stellen:
Gehen Sie zu https: // www.Dämmerung.com/console/authy/applications und klicken Sie auf die Anwendung, die Sie in den vorherigen Schritten erstellt haben:
Nach der Auswahl sehen Sie die Option im linken Menü Einstellungen. Klicke auf Einstellungen und kopieren Sie die Produktions -API -Schlüssel. Wir werden es in den folgenden Schritten verwenden:
Download aus der Konsole von der Konsole Authy-ssh Ausführen des folgenden Befehls:
Git -Klon https: // github.com/authy/authy-ssh
Geben Sie dann das Authy-SSH-Verzeichnis ein:
CD Authy-SSH
Im Verzeichnis des Authy-SSH-Verzeichnisses:
sudo bash authy-ssh install/usr/local/bin
Sie werden gebeten, die einzufügen Produktions -API -Schlüssel Ich habe Sie gebeten, Sie zu kopieren, einzufügen und zu drücken EINGEBEN weitermachen.
Auf die Frage nach Standardaktionen bei API.authy.com kann nicht kontaktiert werden, auswählen 1. Und drücke EINGEBEN.
Notiz: Wenn Sie eine falsche API -Taste einfügen, können Sie sie in der Datei bearbeiten /usr/local/bin/authy-ssh.Conf Wie im Bild unten gezeigt. Ersetzen Sie den Inhalt nach "api_key =" durch Ihren API -Schlüssel:
Aktivieren Sie Authy-SSH durch Laufen:
sudo/usr/local/bin/authy-ssh aktivieren 'whoami' '
Füllen Sie die erforderlichen Informationen aus und drücken Sie Y:
Sie können Authy-SSH-Ausführung testen:
Authy-SSH-Test
Wie Sie sehen können, funktioniert 2FA ordnungsgemäß. Starten Sie den SSH -Service neu, rennen Sie:
sudo Service SSH Neustart
Sie können es auch testen, indem Sie sich über SSH an Localhost verbinden:
Wie dargestellt, arbeitete 2FA erfolgreich.
Authy bietet zusätzliche 2FA -Optionen, einschließlich der Überprüfung der mobilen App. Sie können alle verfügbaren Produkte bei sehen https: // authy.com/.
Abschluss:
Wie Sie sehen können, kann 2FA einfach von jeder Linux -Benutzerebene implementiert werden. Beide in diesem Tutorial genannten Optionen können innerhalb von Minuten angewendet werden.
SSH-Authy ist eine hervorragende Option für Benutzer ohne Smartphones, die keine mobile App installieren können.
Die zweistufige Implementierung kann jegliche Art von anlegebasierten Angriffen verhindern, einschließlich Social Engineering-Angriffen, von denen viele mit dieser Technologie veraltet sind.
Andere Linux 2FA -Alternativen umfassen Freeotp (Red Hat), World Authenticator, und OTP -Client, aber einige dieser Optionen bieten nur eine doppelte Authentifizierung aus demselben Gerät.
Ich hoffe, Sie haben dieses Tutorial nützlich gefunden. Verfolgen Sie den Hinweis für weitere Linux -Tipps und Tutorials weiterhin Linux -Hinweis.