1. Вступ
2. установка
3. конфігурація
4. Налаштування SSH
5. Вхід в систему
6. висновки

Якщо ви адміністратор Linux і хочете максимально убезпечити свої сервери і настільні комп'ютери, ви напевно замислювалися про використання двофакторної аутентифікації. Взагалі, налаштувати її настійно рекомендується кожному, так як двофакторна аутентифікація помітно ускладнює зловмисникам завдання отримати доступ до ваших машин.

1. Вступ
2. установка
3. конфігурація
4. Налаштування SSH
5. Вхід в систему
6. висновки

Linux дозволяє налаштувати комп'ютер так, що увійти в консоль, робочий стіл або через Secure Shell буде не можна без коду двофакторної аутентифікації, прив'язаного до цієї машини. Розглянемо весь процес налаштування на системі Ubuntu Server 16.04.

Вступ

Перш ніж почати, потрібно врахувати один факт - після настройки двофакторної аутентифікації ви не зможете отримати доступ до вашого комп'ютера без згенерованих третьою стороною кодів. Кожен раз, коли ви захочете увійти в систему, вам знадобиться або ваш смартфон, або екстрені коди (emergency codes), які можна налаштувати в процесі.

Нам знадобиться сервер або десктоп Linux. Переконайтеся, що система в актуальному стані, а ваші дані скопійовані на випадок непередбачених обставин. Для створення двохфакторну кодів будемо використовувати стороннє додаток, наприклад, Authy або Google Authenticator. Умовно будемо користуватися Google Authenticator, яке потрібно попередньо встановити.

установка

Залогініться в системі і виконайте наступні кроки:

1. Відкрийте вікно терміналу.
2. Виконайте команду: sudo apt install libpam-google-authenticator.
3. Введіть пароль sudo і натисніть Enter.
4. Якщо з'явиться запит на підтвердження, введіть «y» і натисніть Enter.
5. Дочекайтеся кінця установки.

Тепер прийшов час налаштувати комп'ютер на двухфакторную аутентифікацію.

конфігурація

Поверніться у вікно терміналу і введіть команду: sudo nano /etc/pam.d/common-auth. Додайте наступний рядок в кінець файлу:

auth required pam_google_authenticator.so nullok

Збережіть і закрийте цей файл.

Тепер ми повинні налаштувати Google Authenticator для кожного користувача, хто повинен мати доступ до системи. Для цього потрібно повернутися у вікно терміналу і від імені користувача, якому планується надати доступ, запустити команду google-authenticator. Тут доведеться відповісти на кілька запитань.

Перше питання: «Чи хочете ви, щоб токени аутентифікації були засновані на часі (y / n)» ( «Do you want authentication tokens to be time-based (y / n)»). Дайте відповідь «y», вам буде надано QR-код. Відкрийте на своєму смартфоні двухфакторную додаток, додайте обліковий запис і відскануйте цей QR-код.

Малюнок 1. Отриманий QR-код

Після того, як ви додасте код, залишиться відповісти ще на кілька запитань:

• Do you want me to update your "/home/jlwallen/.google_authenticator" file (y / n) - Чи хотіли б ви оновити файл / home / jlwallen / .google_authenticator;
• Do you want to disallow multiple uses of the same authentication token (y / n)? - Чи хотіли б ви відключити можливість багаторазового використання одного токена? Ця установка дозволяє виконувати тільки один вхід в систему кожні 30 секунд. Якщо ця опція активована, ваші шанси помітити або навіть запобігти атаці виду « людина посередині »(Man-in-the-middle) зростають.
• Оскільки значенням за замовчуванням є 30 секунд, а час сервера і клієнта може незначно відрізнятися, є можливість використовувати якийсь додатковий токен. Отже, якщо у вас виникають проблеми з синхронізацією, ви можете збільшити час вікна приблизно до 4 хвилин. Чи хочете ви це зробити? - Do you want to do so (y / n).
• Якщо ви сумніваєтеся в захисті вашого комп'ютера від атак типу брутфорс (brute-force), ви можете активувати обмеження швидкості для модуля аутентифікації. За замовчуванням це не більше 3 спроб входу в систему кожні 30 секунд. Чи хочете ви включити обмеження швидкості? - Do you want to enable rate-limiting (y / n)

Відповімо на кожне питання ствердно, ввівши «y» і натиснувши Enter.

Налаштування SSH

Наступним кроком буде настройка SSH для роботи з двухфакторной аутентификацией. Якщо цей крок пропустити, ви не зможете увійти через SSH.

Спочатку треба включити модуль PAM. Для цього набираємо команду: sudo nano /etc/pam.d/sshd. Відкривши файл, додаємо наступний рядок в кінець файлу:

auth required pam_google_authenticator.so nullok

Зберігаємо цей файл, а потім виконуємо команду: sudo nano / etc / ssh / sshd_config. У цьому файлі знаходимо:

ChallengeResponseAuthentication no

І міняємо на:

ChallengeResponseAuthentication yes

Зберігаємо цей файл і перезапускаємо sshd - sudo systemctl restart sshd.

Вхід в систему

Перш ніж здійснити вихід із системи, настійно рекомендуємо вам відкрити нове вікно терміналу і спробувати виконати вхід через SSH. Якщо це зробити не вдалося, повторіть всі описані вище кроки, переконавшись, що ви нічого не пропустили. Після того, як вам вдасться успішно залогінитися через SSH, ви можете вийти з системи і знову увійти в систему.

висновки

Ось і все, ви додали додатковий рівень безпеки для ваших Linux-машин. Пам'ятайте, що без стороннього додатка ви не зможете виконати вхід в систему, тому завжди тримаєте ваш смартфон під рукою.