Как включить двухфакторную аутентификацию на Ubuntu 18.04 VPS или на выделенном сервере

Двухфакторная аутентификация (2FA) – это дополнительный уровень безопасности, который вы можете использовать на Ubuntu 18.04 VPS. Помимо ввода обычного имени пользователя и пароля, пользователи, подключающиеся к вашему серверу через SSH, должны будут ввести токен из приложения Google Authenticator..

Когда ваш сервер Ubuntu аутентифицирует пользователей, комбинируя два фактора, он может подтвердить реальную личность авторизованных пользователей, даже если пароль пользователя скомпрометирован.

Лучший способ включить аутентификацию 2FA – использовать приложение Google Authenticator, которое доступно для мобильных телефонов. Это приложение позволяет вам получить код, который вы должны ввести в Ubuntu 18.04 вместе с вашим именем пользователя и паролем, чтобы подтвердить свою личность.
В этом руководстве мы покажем вам, как вы можете настроить 2FA и использовать его для защиты вашего сервера Ubuntu 18.04 от злоумышленников..

Предпосылки

  • VPS-сервер под управлением операционной системы Ubuntu 18.04
  • Пользователь без полномочий root с правами sudo
  • Публичный IP-адрес вашего сервера
  • Телефон под управлением Android или Apple iOs

Шаг 1: Войдите в свой сервер Ubuntu 18.04

Во-первых, вам нужно установить соединение с вашим сервером через SSH. Если вы используете Windows на локальном компьютере, вы можете использовать PuTTY для подключения. Вы также можете использовать встроенную командную строку, если вы используете Linux или Mac. Вам необходимо иметь публичный IP-адрес, имя пользователя и пароль вашего сервера VPS..

Шаг 2. Установите Google PAM

PAM является аббревиатурой от сменного модуля аутентификации. Этот модуль позволяет пользователям проходить аутентификацию в системе Linux с использованием одноразового пароля на основе времени (TOTP) приложение, известное как Google Authenticator. Вы можете скачать приложение из Play Store или Apple App Store.

Чтобы установить модуль PAM Google Authenticator, используйте следующие команды:

Сначала обновите информацию о репозитории пакетов:

$ sudo apt-get update

Далее установите Google PAM.

$ sudo apt-get install libpam-google-authenticator

Шаг 3: Генерация TOTP для пользователя

Теперь у нас установлен Google PAM. Далее вам нужно сгенерировать TOTP. Вы должны сделать это для всех пользователей, которые хотят включить 2FA в своей учетной записи..

Войдя в систему как пользователь, для которого вы хотите сгенерировать TOTP, запустите вспомогательное приложение Google PAM ниже

$ google-authenticator

Вам будет предложено ответить на следующий вопрос:

Вы хотите, чтобы токены аутентификации основывались на времени (да / нет) Y

Просто введите Y и ударил Войти продолжать.

На следующем шаге вы получите QR-код, который необходимо отсканировать с помощью приложения Google Authenticator. Если вы не хотите сканировать QR-код, вы можете ввести секретный ключ, отображаемый здесь, вручную в приложении Google Authenticator на вашем телефоне..

Нажмите Y и ударил Войти когда будет предложено обновить файл аутентификатора Google.

Вы хотите, чтобы я обновил ваш "главная / пользователь / google_authenticator" файл (да / нет) Y

Далее необходимо запретить многократное использование одного и того же токена-аутентификатора для предотвращения атак «человек посередине»..

Вы хотите запретить многократное использование одного и того же
токен аутентификации? Это ограничивает вас одним логином
примерно каждые 30 с, но это увеличивает ваши шансы
замечать или даже предотвращать атаки «человек посередине» (да / нет) Y

Чтобы избежать блокировки от сервера из-за проблем с синхронизацией времени, введите Y и нажмите Enter, как только вам будет предложено использовать опцию ниже.

Чтобы компенсировать возможный перекос времени между клиентом и сервером,
мы разрешаем дополнительный токен до и после текущего времени. Это позволяет
временное искажение до По умолчанию мобильное приложение каждые 30 секунд генерирует новый токен.
30 секунд между сервером аутентификации и клиентом. если ты
Проблемы с плохой синхронизацией времени, вы можете увеличить окно
от его размера по умолчанию 3 разрешенных кода (один предыдущий код, текущий
код, следующий код) до 17 разрешенных кодов (8 предыдущих кодов, текущий
код и 8 следующих кодов). Это позволит на время до 4 минут
между клиентом и сервером.
Вы хотите сделать это? (да / нет) Y

Далее введите Y а также Войти включить ограничение скорости и избежать грубых атак на ваш сервер

Если компьютер, на который вы входите, не защищен от грубой силы
попытки входа в систему, вы можете включить ограничение скорости для модуля аутентификации.
По умолчанию это ограничивает злоумышленников не более 3 попыток входа в систему каждые 30 секунд.
Вы хотите включить ограничение скорости? (да / нет) Y

Шаг 4: Включить PAM на SSH

У нас будет две конфигурации SSH, чтобы пользователи могли войти в систему, используя 2FA. Для этого нам нужно отредактировать файл «/etc/pam.d/sshd» с помощью нано-редактора:

$ sudo nano /etc/pam.d/sshd

Добавьте строку “Требуется авторизация pam_google_authenticator.so” строка внизу файла.

$ # Стандартный Un * x обновление пароля.
@include общий пароль
требуется авторизация pam_google_authenticator.so

Затем нажмите CTRL + X, Y а также Войти сохранить изменения.

Затем откройте файл конфигурации SSH, чтобы включить этот вид аутентификации:

$ sudo nano / etc / ssh / sshd_config

Измените значение ChallengeResponseAuthentication с нет на да

# Измените на yes, чтобы включить пароли запроса-ответа (остерегайтесь проблем с
# некоторые модули PAM и темы)
ChallengeResponseAuthentication yes

Нажмите CTRL + X тогда Y а также Войти сохранить изменения в файл

Перезапустите демон SSH:

$ sudo systemctl перезапустить sshd.service

Шаг 5: Проверьте конфигурацию

Теперь вы можете открыть новое окно терминала и войти на свой сервер Ubuntu. Это гарантирует, что вы можете легко отменить изменения с первого сеанса в случае неправильной конфигурации на сервере.

Когда вы войдете в этот раз, вам будет предложено ввести код подтверждения вместе с вашим именем пользователя и паролем. Вам необходимо получить код подтверждения из приложения Google Authenticator:

Это пример запроса SSH с включенным двухфакторным

Используя имя пользователя "Джон".
Аутентификация с открытым ключом "Джон"
Требуется дополнительная аутентификация
Использование клавиатурно-интерактивной аутентификации.
Пароль: введите свой пароль здесь
Использование клавиатурно-интерактивной аутентификации.
Код подтверждения: введите второй фактор здесь
Добро пожаловать в Ubuntu 18.04 LTS (GNU / Linux 4.15.0-1009-gcp x86_64)

Вывод

В этом руководстве мы рассказали, как включить двухфакторную аутентификацию на вашем сервере Ubuntu 18.04. Это гарантирует, что только человек с вашим паролем и правильным токеном безопасности может войти на ваш сервер, и это добавляет хороший уровень безопасности. Если вы следовали этому руководству, вы сможете обезопасить свой сервер от злонамеренных пользователей..

Особое примечание: ключевой частью защиты вашего сервера от злонамеренных атак является наличие плана хостинга в надежной и безопасной хостинговой компании. На HostAdvice вы найдете лучших провайдеров VPS-хостинга и хостинга выделенных серверов, которым вы можете доверять – в комплекте с реальными отзывами пользователей.

Проверьте эти лучшие 3 услуги VPS:

А2 Хостинг

Стартовая цена:
$ 5,00


надежность
9,3


ценообразование
9,0


Дружественный интерфейс
9,3


Служба поддержки
9,3


особенности
9,3

Читать отзывы

Посетите A2 Хостинг

ScalaHosting

Стартовая цена:
$ 12,00


надежность
9,4


ценообразование
9,5


Дружественный интерфейс
9,5


Служба поддержки
9,5


особенности
9,4

Читать отзывы

Посетите ScalaHosting

Hostinger

Стартовая цена:
$ 3,95


надежность
9,3


ценообразование
9,3


Дружественный интерфейс
9,4


Служба поддержки
9,4


особенности
9,2

Читать отзывы

Посетить Hostinger

Связанные статьи с практическими рекомендациями

  • Как установить сертификат Let Let Encrypt на выделенный сервер Ubuntu 18.04 или VPS
    промежуточный
  • Как настроить Fail2ban на VPS-сервере Ubuntu 18.04 или на выделенном сервере
    промежуточный
  • Как установить и настроить обнаружение вредоносных программ в Linux на CentOS 7
    эксперт
  • Как включить Apache Mod_Rewrite на VPS Ubuntu 18.04 или выделенном сервере
    эксперт
  • Как установить & Настройте веб-сервер Caddy на Ubuntu 18.04 VPS
    промежуточный
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me