Hvordan aktivere tofaktorautentisering for SSH i Fedora Linux

Bilde: Jack Wallen

Enten du bruker Fedora Linux for et skrivebord eller server, bør du vurdere å aktivere tofaktorautentisering for Secure Shell (SSH) pålogging. Hvorfor? Fordi SSH er det viktigste middelet for ekstern pålogging på en server, og det siste du ønsker er å la tjenesten være åpen for angrep.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

En måte å bedre låse det ned ved å aktivere tofaktorautentisering for SSH. Jeg vil lede deg gjennom trinnene for å gjøre nettopp det, slik at du kan glede deg over mer sikkerhet med Fedora-stasjonære PC-er og servere.

Hva trenger du

For å få dette til å fungere, trenger du følgende:

  • Et eksempel på at Fedora er i gang.
  • En brukerkonto med sudo-tilgang.
  • En tredjepartsgodkjenningsapp (for eksempel Authy) på din mobile enhet.

La oss få dette til å fungere.

Et advarsel

Før du går inn på dette anbefaler jeg på det sterkeste at dette oppsettet gjøres når du har fysisk tilgang til den aktuelle Fedora-maskinen. Skulle noe gå galt, vil du kunne logge deg på maskinen direkte, slik at du kan feilsøke problemet.

Installasjon

Det første trinnet er å installere Google Authenticator. Åpne et terminalvindu og gi følgende kommando:

 sudo dnf installere google-authenticator nano -y 

Når installasjonen er fullført, kjører du verktøyet med kommandoen:

 google-autentifikatoren 

Du blir stilt følgende spørsmål (svar ja til hver):

 Ønsker du at godkjenningstokener skal være tidsbaserte (y / n) y Vil du at jeg skal oppdatere "/home/user/.google_authenticator" -filen (y / n)? y 

Appen vil da vise en QR-kode, som du trenger å skanne til Authy (på din mobile enhet). Du vil også bli utstyrt med en liste over hemmelige koder, som du må kopiere og lagre på et hemmelig, sikkert sted. Når du har skannet QR-koden og lagret gjenopprettingskodene, blir du spurt tre spørsmål til (igjen, svar ja til hver).

Konfigurer SSH

Før du gjør dette, må du forsikre deg om at du kan SSH inn i Fedora-maskinen. Ut av boksen kjører kanskje ikke SSH-demonen, så start og aktiver den med følgende kommandoer:

 sudo systemctl start sshd sudo systemctl enable sshd 

Når SSH er kjørt og aktivert, må du huske å kopiere SSH-nøkkelen til denne maskinen (for SSH-nøkkelgodkjenning), fra hvilken som helst / alle maskiner du planlegger å bruke for å få ekstern tilgang. Dette kan gjøres ved å kjøre følgende kommando fra hver maskin som trenger tilgang:

 ssh-copy-id postbeskyttet _IP 

Der USER er brukernavnet på Fedora-maskinen og FEDORA_IP er IP-adressen til Fedora-maskinen din.

Når du først er i stand til å SSH inn i Fedora-maskinen ved å bruke SSH-nøkkelgodkjenning, er det på tide å konfigurere SSH til å bruke tofaktorautentisering. Fra terminalvinduet (på Fedora-maskinen), gi kommandoen:

 sudo nano /etc/pam.d/sshd 

Kommenter den første linjen (ved å legge til en # symbol i begynnelsen). Den linjen vil nå se ut:

 #auth erstatte passord-autorisasjon 

Legg til følgende linje nederst i filen:

 autorisasjon tilstrekkelig pam_google_authenticator.so 

Lagre og lukk den filen.

Deretter må vi konfigurere SSH-demonen. Gi kommandoen:

 sudo nano / etc / ssh / sshd_config 

Først må du endre ChallengeResponseAuthentication fra nei til ja slik:

 ChallengeResponseAuthentication ja 

Deretter endrer du PasswordAuthentication til ingen lignende:

 PasswordAuthentication no 

Til slutt legger du følgende til bunnen av filen:

 AuthenticationMethods publickey, password publickey, keyboard -active 

Lagre og lukk filen.

Start SSH-demonen på nytt med kommandoen:

 sudo systemctl omstart sshd 

Logger inn

Du er klar til å logge på. Åpne et terminalvindu fra en av dine klientmaskiner og gi kommandoen:

 ssh postbeskyttet _IP 

Der USER er brukernavnet på Fedora-maskinen og FEDORA_IP er IP-adressen til Fedora-maskinen. Du må bli bedt om å få en bekreftelseskode ( figur A ), som du vil hente fra mobilautentiseringsappen din.

Figur A: SSH-ledeteksten vår for bekreftelseskode.

Når du har skrevet inn koden, bør du få tilgang til maskinen (fordi du konfigurerer SSH-nøkkelgodkjenning).

Gratulerer, du har nå satt opp tofaktorautentisering for Fedora-maskinen din. Når noen prøver å logge seg på serveren eller skrivebordet ved å bruke SSH, vil de ikke få tilgang uten en to-faktor autentiseringskode generert av mobilautentiseringsappen din.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com