Autenticazione a due fattori Linux

L'autenticazione a due fattori (2FA) è un processo di accesso costituito da un meccanismo a doppia autenticazione. Le implementazioni più conosciute includono l'SMS classico o la conferma del codice e -mail per browser e dispositivi nuovi/sconosciuti.

In questo scenario, anche se un hacker ottiene una password PayPal o hosting, non sarà in grado di accedere senza il codice di conferma inviato al telefono o all'e -mail della vittima.

L'implementazione dell'autenticazione a due fattori è una delle migliori pratiche per proteggere le nostre e-mail, account di social network, hosting e altro ancora. Sfortunatamente, il nostro sistema non è l'eccezione.

Questo tutorial mostra come implementare l'autenticazione a due fattori per proteggere l'accesso SSH utilizzando Google Authenticator o Authy-SSH. Google Authenticator ti consente di verificare un accesso utilizzando l'app mobile, mentre Authy-SSH può essere implementato senza un'app che utilizza la verifica SMS.

Autenticazione a due fattori Linux utilizzando Google Authenticator

Nota: Per favore, prima di continuare, assicurati di avere Google Authenticator installato sul tuo dispositivo mobile.

Per avviare, eseguire il seguente comando per installare Google Authenticator (distribuzioni Linux basata su Debian):

SUDO APT Installa libpam-google-authenticator -y

Per installare Google Authenticator su Red HAT Linux Distributions (CentOS, Fedora), eseguire il seguente comando:

Sudo DNF Installa Google -Authenticator -y

Una volta installato, eseguire Google Authenticator come mostrato nello screenshot seguente.

Google-Authenticator

Come puoi vedere, viene visualizzato un codice QR. È necessario aggiungere il nuovo account facendo clic su + icona nella tua app di autenticatore Google mobile e seleziona Scansiona il codice QR.

Google Authenticator fornirà anche codici di backup che devi stampare e salvare nel caso in cui perdi l'accesso al tuo dispositivo mobile.

Ti verranno poste alcune domande, che sono dettagliate di seguito e puoi accettare tutte le opzioni predefinite selezionando Y Per tutte le domande:

• Dopo aver scansionato il codice QR, il processo di installazione richiederà l'autorizzazione per modificare la casa. Premere Y Per continuare alla domanda successiva.
• La seconda domanda consiglia di disabilitare più accessi utilizzando lo stesso codice di verifica. Premere Y continuare.
• La terza domanda si riferisce ai tempi di scadenza per ogni codice generato. Ancora una volta, puoi concedere il tempo inclinarsi, premere Y continuare.
• Abilita il limite della velocità, fino a 3 accessi nei tentativi ogni 30 anni. Premere Y continuare.

Una volta installato Google Authenticator, è necessario modificare il file /etc/pam.d/sshd Per aggiungere un nuovo modulo di autenticazione. Usa Nano o qualsiasi altro editor come mostrato nello screenshot di seguito per modificare il file /etc /pam.d/sshd:

nano /etc /pam.d/sshd

Aggiungi la riga seguente a /etc /pam.d/sshd come mostrato nell'immagine seguente:

AUTH richiesto PAM_GOOGLE_AUTHENTICATOR.Quindi Nullok

Nota: Le istruzioni di Red Hat menzionano una linea contenente #Auth Scapack password-auth. Se trovi questa linea nel tuo /etc /pam.D./sshd, commentalo.

Salva /etc /pam.D./sshd e modifica il file /etc/ssh/sshd_config come mostrato nell'esempio seguente:

nano/etc/ssh/sshd_config

Trova la linea:

#Challellengensea utenti n

Risocco su di esso e sostituire NO con SÌ:

ChallengeresesAuthentication Sì

Esci da risparmio e riavvia il servizio SSH:

sudo systemctl riavvio sshd.servizio

È possibile testare l'autenticazione a due fattori connettendoti al tuo locale come mostrato di seguito:

ssh localhost

Puoi trovare il codice nella tua app mobile di autenticazione Google. Senza questo codice, nessuno sarà in grado di accedere al tuo dispositivo tramite SSH. Nota: questo codice cambia dopo 30 secondi. Pertanto, è necessario verificarlo velocemente.

Come puoi vedere, il processo 2FA ha funzionato con successo. Di seguito è possibile trovare le istruzioni per un'implementazione 2FA diversa utilizzando SMS anziché un'app mobile.

Autenticazione a due fattori Linux utilizzando Authy-SSH (SMS)

Puoi anche implementare l'autenticazione a due fattori usando Authy (Twilio). Per questo esempio, non sarà richiesta un'app mobile e il processo verrà eseguito tramite la verifica SMS.

Per iniziare, vai a https: // www.Twilio.com/try-twilio e compilare il modulo di registrazione.

Scrivi e verifica il tuo numero di telefono:

Verifica il numero di telefono utilizzando il codice inviato da SMS:

Una volta registrato, vai su https: // www.Twilio.com/console/authy e premere il Iniziare pulsante:

Clicca il Verificare il numero di telefono pulsante e seguire i passaggi per confermare il tuo numero:

Verifica il tuo numero:

Una volta verificato, torna alla console facendo clic su Torna alla console:

Seleziona un nome per l'API e fai clic su Crea applicazione:

Compila le informazioni richieste e premi Fare una richiesta:

Selezionare Token SMS e premere Fare una richiesta:

Vai a https: // www.Twilio.com/console/authy/applicazioni e fare clic sull'applicazione creata nei passaggi precedenti:

Una volta selezionato, vedrai nel menu a sinistra l'opzione Impostazioni. Clicca su Impostazioni e copiare il Chiave API di produzione. Lo useremo nei seguenti passaggi:

Dalla console, scarica Authy-ssh Esecuzione del seguente comando:

Git clone https: // github.com/authy/authy-ssh

Quindi, inserisci la directory Authy-ssh:

cd authy-ssh

All'interno della directory di Authy-ssh:

Sudo Bash Authy-ssh Installa/USR/Local/Bin

Ti verrà chiesto di incollare il Chiave API di produzione Ti ho chiesto di copiare, incollare e premere ACCEDERE continuare.

Alla domanda sull'azione predefinita quando API.Authy.com non può essere contattato, seleziona 1. E premere ACCEDERE.

Nota: Se incolla una chiave API sbagliata, puoi modificarla nel file /USR/Local/Bin/Authy-ssh.conf come mostrato nell'immagine qui sotto. Sostituisci il contenuto dopo "api_key =" con la chiave API:

Abilita Authy-ssh eseguendo:

sudo/usr/local/bin/authy-ssh abilita 'whoami'

Riempire le informazioni richieste e premere Y

Puoi testare Authy-ssh esecuzione:

Test di Authy-ssh

Come puoi vedere, 2FA funziona correttamente. Riavvia il servizio SSH, esegui:

Servizio sudo SSH Riavvia

Puoi anche testarlo collegando tramite SSH a LocalHost:

Come illustrato, 2FA ha funzionato con successo.

Authy offre ulteriori opzioni 2FA, inclusa la verifica dell'app mobile. Puoi vedere tutti i prodotti disponibili su https: // authy.com/.

Conclusione:

Come puoi vedere, 2FA può essere facilmente implementato da qualsiasi livello utente Linux. Entrambe le opzioni menzionate in questo tutorial possono essere applicate in pochi minuti.

SSH-Authy è un'opzione eccellente per gli utenti senza smartphone che non possono installare un'app mobile.

L'implementazione della verifica in due fasi può impedire a qualsiasi tipo di attacco basato sul accesso, inclusi gli attacchi di ingegneria sociale, molti dei quali sono diventati obsoleti con questa tecnologia perché la password della vittima non è sufficiente per accedere alle informazioni sulla vittima.

Altre alternative Linux 2FA includono FREEOTP (Red Hat), Autenticatore mondiale, e client OTP, ma alcune di queste opzioni offrono solo una doppia autenticazione dallo stesso dispositivo.

Spero che tu abbia trovato utile questo tutorial. Continua a seguire il suggerimento Linux per ulteriori suggerimenti e tutorial Linux.