Linux

Proteja seu SSH usando autenticação de dois fatores no Ubuntu 16.04

Neste tutorial, descreveremos as etapas necessárias para configurar a autenticação de dois fatores (2FA) usando o Google authenticator em um Ubuntu 16.04 VPS. Esta aplicação inclui implementações de geradores de senha única para várias plataformas móveis. Esse método adiciona outra camada de proteção ao seu servidor, adicionando uma etapa extra ao procedimento básico de login.

Faça login no seu servidor via SSH como raiz do usuário

ssh [Email protegido]_Endereço

Atualize todos os pacotes instalados:

apt-get update && apt-get upgrade

Instale o Google Authenticator pacote.

apt-get instala o libpam-google-authenticator

Depois que o pacote for instalado, execute o programa google-authenticator para criar uma chave para o usuário com o qual você fará login. O programa pode gerar dois tipos de tokens de autenticação - com base no tempo e tokens de uma só vez. As senhas baseadas no tempo serão alteradas aleatoriamente em um determinado período de tempo e as senhas de uso único serão válidas para uma única autenticação.

No nosso caso, usaremos senhas baseadas em tempo. Execute o programa para criar as chaves

autenticador do google

Você será perguntado se deseja que a autenticação seja baseada em tempo.

Você deseja que os tokens de autenticação sejam baseados em tempo (y / n) y

Código QR grande será gerado no seu terminal. Você pode digitalizar o código com o aplicativo autenticador no seu telefone ou tablet Android / iOS / Windows ou digitar a chave secreta gerada na tela.

Códigos de risco de emergência também serão gerados. Você pode usar esses códigos para autenticação no caso de perder seu dispositivo móvel.

Seus códigos de emergência são: 80463533 68335920 89221348 12489672 11144603

Salve as configurações de autenticação para o usuário root respondendo SIM à próxima pergunta

Você quer que eu atualize seu arquivo "/ro//google_authenticator" (y / n)

Em seguida, você pode configurar o autenticador para gerar senhas de uso único. Como eles duram 30 segundos, todas as senhas geradas podem ser usadas uma vez.

Deseja impedir vários usos do mesmo token de autenticação? Isso restringe você a um login sobre todos os 30s, mas aumenta suas chances de perceber ou até mesmo impedir ataques do tipo man-in-the-middle (y / n)

Você pode usar a próxima configuração se tiver problemas de sincronização de horário nos seus dispositivos, por isso não usaremos essa opção

Por padrão, os tokens são bons para 30 segundos e, para compensar possíveis distorções de tempo entre o cliente e o servidor, permitimos um token extra antes e depois do horário atual. Se você tiver problemas com sincronização de horário ruim, poderá aumentar a janela de seu tamanho padrão de 1: 30min para cerca de 4min. Você quer fazer isso (s / n) n

A próxima configuração impede ataques de força bruta. Você só terá três chances por 30 segundos para inserir a senha correta.

Se o computador em que você está efetuando login não estiver protegido contra tentativas de login de força bruta, será possível ativar a limitação de taxa para o módulo de autenticação. Por padrão, isso limita os invasores a não mais que tentativas de login do 3 a cada 30s. Deseja ativar o limite de taxa (y / n) y

Agora temos o aplicativo Google Authenticator configurado e a próxima etapa é definir as configurações de autenticação no openSSH. Para fazer isso, abra o arquivo “/etc/pam.d/sshd” e adicione a seguinte linha ao final do arquivo:

# vim /etc/pam.d/sshd auth required pam_google_authenticator.so

Salve as alterações e abra o arquivo “/ etc / ssh / sshd_config” e ative a Autenticação de Resposta de Desafio.

# vim / etc / ssh / sshd_config ChallengeResponseAuthentication yes

Salve o arquivo e reinicie o servidor SSH para que as alterações entrem em vigor.

systemctl reiniciar ssh

Se você seguiu este tutorial de perto, a autenticação de dois fatores está ativada no seu servidor e toda vez que você tentar acessar o seu Ubuntu VPS via SSH você terá que digitar a senha do usuário e o código de verificação gerado pelo aplicativo Google Authentication no seu dispositivo móvel .

fonte

Tag

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

Voltar ao topo botão