Säkra din server med tvåfaktorsautentisering

, , , , ,

Tvåfaktorsautentisering innebär att du på något vis måste bevisa att du är du, utöver att ange ett lösenord. Detta kan ske exempelvis genom att skriva in en engångskod du fått via din telefon.

Google har en app som hjälper dig med detta, Google Authenticator. Börja med att hämta Google Authenticator från App Store eller Google Play.

Sedan ska Google Authenticator-paketet installeras på server:

sudo apt-get install libpam-​​google-authenticator

 

För att SSH ska kräva tvåfaktorsautentisering från Google måste du aktivera denna funktion genom att editera Pluggable Authentication Module (PAM):

sudo vi /etc/pam.d/sshd

 

Lägg till följande rad högst upp:

auth krävs pam_google_authenticator.so

 

Redigera sedan SSH konfigurationsfilen:

sudo vi / etc / ssh / sshd_config

 

Ändra ChallengeResponseAuthentication till yes:

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication yes

 

Spara ändringen och aktivera authenticator:

google-authenticator

 

Förutom att se en stor QR-kod, kommer du också att se en uppsättning av hemliga nycklar och få ett antal frågor för att anpassa din konfiguration.

Öppna Google Authenticator-appen på din telefon, välj redigera-ikonen i övre högra och lägg till en ny post med knappen längst ner. Du kan antingen skanna QR-koden med din kamera eller ange den hemliga nyckeln. På detta vis kopplar du din server mot just din telefon.

 

Se till att spara undan de koder som kallas emergency scratch codes, dessa koder kan användas ifall du skulle behöva återställa din inloggning utan tvåfaktorsautentisering.

Starta om SSH-tjänsten igen och testa sedan att logga in igen, förlsagsvis med en ny session ifall något gått galet

sudo service ssh restart

 

När du loggar in igen kommer du bli tillfrågad om en verifieringskod innan ditt lösenord, denna verifieringskod ska nu dyka upp i Google Authenticator-appen.

tva

Från och med nu räcker det alltså inte för någon att lista ut eller stjäla ditt lösenord, eftersom din telefon behövs för att logga in.

Tvåfaktorsautentisering adderar ett starkt lager av sekundär säkerhet till din server men glöm för den delen inte bort att ha ett starkt lösenord!

 

Kommentarer

kommentarer