Slik konfigurerer du tofaktorautentisering i Linux

Hvordan konfigurere to-faktor autentisering på en Ubuntu Server To-faktor autentisering bør betraktes som en må-bruk. Jack Wallen leder deg gjennom den nye metoden for å legge dette sikkerhetslaget til Linux-stasjonære PC-er og servere.

Hvis du er en Linux-administrator og ønsker å låse Linux-serverne og stasjonære PCene så tette som mulig, skylder du deg selv å benytte deg av tofaktorautentisering. Dette bør betraktes som "no-brainer" når de kommer. Hvorfor? Fordi ved å legge til tofaktorautentisering, blir det eksponentielt vanskeligere for ondsinnede brukere å få tilgang til maskinene dine. Med Linux er det mulig å sette opp en maskin slik at du ikke kan logge deg på konsollen eller skrivebordet eller ved hjelp av sikkert skall, uten å ha tofaktors autentiseringskode tilknyttet den maskinen.

Jeg kommer til å lede deg gjennom prosessen med å konfigurere dette på Ubuntu Server 16.04. Hvis du har forsøkt denne prosessen før, må du vite at trinnene er endret og at den tidligere detaljerte metoden ikke lenger fungerer.

Før du begynner

Det er en ting du må vite om å legge til tofaktorautentisering: Når du har konfigurert den, uten tredjepartsgenererte koder, vil du ikke kunne få tilgang til maskinen din. Hver gang du vil logge inn, trenger du enten smarttelefonen din eller nødkodene (generert ved installasjon av nødvendige verktøy).

Hva du trenger

Det er klart at du trenger en Linux-server eller desktop. Forsikre deg om at de er fullt oppdatert og at dataene dine er sikkerhetskopiert (fordi du aldri vet). Du trenger også en tredjepartsapplikasjon (for eksempel Authy eller Google Authenticator) for å generere tofaktorkodene dine. Personlig bruker jeg Authy til denne oppgaven. Jeg vil ikke gå gjennom prosessen med å installere verken Authy eller Google Authenticator-appen (da det er selvforklarende).

Med det sagt, la oss sette dette opp.

Installasjon

Logg inn på din Linux-maskin og følg disse trinnene:

  1. Åpne et terminalvindu
  2. Gi kommandoen sudo apt install libpam-google-authenticator
  3. Skriv inn sudo passordet og trykk Enter
  4. Hvis du blir bedt om det, skriver du y og trykker Enter
  5. La installasjonen fullføre

Nå er det på tide å konfigurere maskinen for tofaktorautentisering.

konfigurasjon

Tilbake i terminalvinduet, gi kommandoen sudo nano /etc/pam.d/common-auth . Legg til følgende linje nederst i filen:

 autorisasjon krevde pam_google_authenticator.so nullok 

Lagre og lukk den filen.

Nå må vi konfigurere Google-autentisator for alle brukere som trenger å logge seg på maskinen. Jeg vil demonstrere med en enkelt bruker. Gå tilbake til terminalvinduet, og gi brukeren den aktuelle kommandoen google-authenticator . Du må svare på en serie spørsmål. Det første spørsmålet er: Vil du at godkjenningstokener skal være tidsbaserte (y / n) y . Svar med ay så får du en QR-kode ( figur A ). Åpne din tofaktor-app på smarttelefonen, legg til en ny konto og skann den koden.

Figur A

Skann qr-koden for å legge til kontoen i tredjepartsappen din.


Når du har lagt til koden, svar på de resterende spørsmålene, som er:

  • Vil du at jeg skal oppdatere filen "/home/jlwallen/.google_authenticator" (å / n) y
  • Ønsker du å ikke tillate flere bruksområder av det samme godkjenningstokenet? Dette begrenser deg til én pålogging omtrent hvert 30. år, men det øker sjansene dine for å legge merke til eller til og med forhindre angrep på midten (y / n)
  • Som standard er tokens gode i 30 sekunder, og for å kompensere for mulig tidsskjevhet mellom klienten og serveren tillater vi et ekstra token før og etter gjeldende tid. Hvis du opplever problemer med dårlig tidssynkronisering, kan du øke vinduet fra standardstørrelsen på 1: 30min til omtrent 4min. Vil du gjøre det (å / n)
  • Hvis datamaskinen du logger på ikke er herdet mot påloggingsforsøk med brute-force, kan du aktivere hastighetsbegrensning for autentiseringsmodulen. Som standard begrenser dette angripere til ikke mer enn tre påloggingsforsøk hvert 30. år. Vil du aktivere hastighetsbegrensning (å / n)

Svar på hvert spørsmål ved å skrive y og trykke enter.

Konfigurer SSH

Deretter må vi konfigurere ssh for å tillate tofaktorautentisering. Ellers kan du ikke logge inn via ssh. Her er hva du gjør:

Aktiver først PAM-modulen. For å gjøre dette, utgi kommandoen sudo nano /etc/pam.d/sshd . Når filen er åpen, kan du legge til følgende linje nederst i filen:

 autorisasjon krevde pam_google_authenticator.so nullok 

Lagre den filen, og gi deretter kommandoen sudo nano / etc / ssh / sshd_confi g. I denne filen, se etter:

 ChallengeResponseAuthentication no 

og endre den til:

 ChallengeResponseAuthentication ja 

Lagre filen og start sshd på nytt med kommandoen sudo systemctl omstart sshd .

Logger inn

Før du logger ut av serveren din fra det nåværende arbeidsterminalvinduet, anbefaler jeg at du åpner et nytt vindu og prøver å sikre skallet i maskinen. Hvis du ikke kan logge inn, gå tilbake gjennom trinnene og pass på at du ikke gikk glipp av noe. Når du har logget deg på den måten, er det trygt å logge ut den nåværende økten og logge inn på nytt.

Velkommen til et nytt sikkerhetsnivå

Det er alt som trengs for å legge til et mye nødvendig lag med ekstra sikkerhet til Linux-maskinene dine. Husk at uten den tredjeparts autentiseringsappen fra tredjeparter vil du ikke kunne logge deg på den nylig konfigurerte maskinen - så hold den telefonen hendig til enhver tid.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | mobilegn.com