RU ES EN FR

Domaine et IP whois

Domaines HostingHébergement VPS HostingVPS / VDS SSLCertificats Company Société

Hébergement VPS/VDS >  Configuration de l'authentification à deux facteurs en SSH à l'aide de Google Authenticator sur Centos 6

Le service SSH a le plus grand nombre d'attaques de devinette de mot de passe, vous venez de démarrer votre serveur et après quelques heures, vous pouvez voir les tentatives de connexion à partir d'adresses IP inconnues dans les journaux. Pour réduire le nombre de tentatives, nous vous recommandons immédiatement de modifier le numéro de port dans les paramètres sshd. Bien sûr, vous devez spécifier un mot de passe d'une bonne complexité en utilisant des lettres, des symboles et des chiffres sensibles à la casse.

Pour les serveurs Linux, en règle générale, vous devrez vous souvenir de 2 mots de passe, 1 pour l'utilisateur normal, le second pour root. S'il y a plusieurs serveurs, ils ont généralement recours à diverses applications qui stockeront les paramètres de session (hôte, login et mot de passe), ce qui est tout à fait normal jusqu'à ce que l'attaquant accède à votre poste de travail. Dans tous les cas, il existe des sites infectés, des logiciels, etc. Il s'avère que vous ne pouvez pas être totalement sûr que ces données sont sécurisées et accessibles uniquement à vous. Il existe une solution pour ce cas. Autorisation à deux facteurs - une application sur votre téléphone est ajoutée au login et au mot de passe, qui, en fonction de l'heure et de la clé unique, génère une question et une réponse sous forme de chiffres. Après avoir entré le login et le mot de passe, vous serez invité à entrer le code de vérification, qui est accessible dans l'application Google Authenticator.

Installer les packages nécessaires

yum install pam pam-devel google-authenticator 

Installer l'application mobile

 

Paramètres

Par défaut, il est préférable d'interdire la connexion d'un utilisateur dans les paramètres sshd, donc si vous venez de commencer à configurer un nouveau serveur, créez un utilisateur, définissez-lui un mot de passe et passez en dessous:

adduser username
passwd username
su username

Exécutez la commande sous l'utilisateur pour lequel vous configurez l'authentification à deux facteurs:

google-authenticator

Appuyez sur y dans le premier message vous demandant si vous souhaitez mettre à jour le fichier ./google_authenticator. Lorsque vous êtes invité à interdire la réutilisation, appuyez à nouveau sur y pour empêcher un autre utilisateur d'utiliser votre code. Pour les autres paramètres, appuyez sur “y”, car tous augmentent l'efficacité de ce logiciel.

Assurez-vous de copier la clé secrète et les codes de récupération d'urgence sur un morceau de papier. Gardez ces informations hors ligne, car même si quelqu'un trouve ces informations, vous devez toujours connaître l'hôte, le nom d'utilisateur et le mot de passe pour vous connecter.

Nous allons maintenant configurer PAM pour appliquer tous nos paramètres au service SSH, ces actions doivent déjà être effectuées à partir de l'utilisateur root

vi /etc/pam.d/sshd

Ajoutez des lignes au tout début du fichier pour ressembler à ceci:

#%PAM-1.0
auth required pam_unix.so no_warn try_first_pass
auth required pam_google_authenticator.so

Nous laissons le reste des lignes qui étaient dans le fichier, elles passent en dessous sans modifications. Enregistrez le fichier et passez à la configuration du service SSH.

vi /etc/ssh/sshd_config

Trouver le ChallengeResponseAuthentication no "paramètre et modifier" no "à" yes. "Enregistrez les modifications et redémarrez le service.

service sshd restart

Configurez maintenant l'application sur votre appareil mobile. Trouver l'option "saisir manuellement la clé" et cliquez dessus. Entrez la clé secrète que vous avez notée plus tôt et enregistrez. Le code apparaît maintenant que vous devrez entrer dans le champ Code de vérification après avoir entré le mot de passe.

Modifications:

  • Modifier la séquence d'entrée:

Nous définissons spécifiquement la séquence login - mot de passe puis le code de vérification. Si vous souhaitez saisir d'abord le code de l'application puis le mot de passe, supprimez simplement la première ligne pour que le fichier ressemble à ceci:

#%PAM-1.0
auth required pam_google_authenticator.so
  • Authentification à deux facteurs lors de la connexion en tant que root

Par exemple, vous souhaitez vous connecter au serveur en tant qu'utilisateur normal avec un nom d'utilisateur et un mot de passe, et lorsque vous entrez la commande su, entrez le mot de passe root et entrez le code de l'application. Lancez l'application ./google_authenticator à partir de la racine comme vous le faisiez auparavant. Configurez une application mobile avec un nouveau code et ajoutez au fichier:

vi /etc/pam.d/su

au tout début de la ligne:

#%PAM-1.0
auth required pam_unix.so no_warn try_first_pass
auth required pam_google_authenticator.so

C'est fait, vous n'avez pas besoin de redémarrer le service. Désormais, lorsque vous essayez de vous connecter en tant que root, la commande nécessitera un code de vérification de l'application.

P.S. Nous vous recommandons de vérifier dans une autre session ssh pour éviter les erreurs, vous aurez la possibilité de revenir et de corriger.

Espace Client

Connexion

Mot de passe oublié


S'inscrire


Vérifier le courrier:

Courrier:
Mot de passe:

Catalogue d'applications VPS

Base de connaissances

Des services supplémentaires

Hébergement VPS

Nous avons été choisis par les principales sociétés de médias avec de gros volumes de données et une charge élevée

Calculer le tarif

Transfert de domaine