Il y a plusieurs choses que vous pouvez faire pour sécuriser et protéger votre SSH. L'un d'eux consiste à utiliser Google Authenticator et à créer une authentification à deux facteurs sur votre VPS CentOS. Google Authenticator vous offre une couche de sécurité supplémentaire en générant des mots de passe à usage unique basés sur le temps (TOTP) sur votre smartphone que vous devez saisir avec votre nom d'utilisateur et votre mot de passe afin de vous connecter au serveur via SSH.
Dans l'article de blog d'aujourd'hui, nous expliquerons comment installer Google Authenticator à partir de la source et configurer SSH pour l'authentification à deux facteurs.
Tout d'abord, mettez à jour votre serveur virtuel CentOS
yum -y update
Ensuite, installez le ‘pam-devel ' qui vous permet de définir des politiques d'authentification sans avoir à recompiler les programmes qui gèrent l'authentification.
yum -y install pam-devel
Assurez-vous que ntpd est installé et en cours d'exécution, car les jetons de sécurité TOTP sont sensibles au facteur temps
yum -y install ntp /etc/init.d/ntpd start chkconfig ntpd on
Téléchargez et décompressez le package d'authentification Google
cd /opt/ wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2 tar -xvzf libpam-google-authenticator-1.0-source.tar.bz2 cd libpam-google-authenticator-1.0
Compilez et installez le module d'authentification Google
make make install
Maintenant, lancez l'authentificateur Google sur votre serveur et répondez à chacune des questions
google-authenticator Do you want authentication tokens to be time-based (y/n) y https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@YOURHOSTNAME%3Fsecret%3DWYD4YCGEE5N4M3LA Your new secret key is: WYD4YCGEE5N4M3LA Your verification code is 188127 Your emergency scratch codes are: 60086389 28918071 88502143 60873576 90892542 Do you want me to update your "/root/.google_authenticator" file (y/n) y Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) y By default, tokens are good for 30 seconds and in order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. If you experience problems with poor time synchronization, you can increase the window from its default size of 1:30min to about 4min. Do you want to do so (y/n) y If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting (y/n) y
Ouvrez l'URL donnée après avoir répondu à la première question et scannez le code QR à l'aide de l'application Google Authenticator sur votre smartphone. C'est tout. Un nouveau code de vérification sera généré toutes les 30 secondes.
Vous devez maintenant activer l'authentificateur Google pour les connexions SSH. Ouvrir le fichier de configuration de PAM
vi /etc/pam.d/sshd
Et ajoutez la ligne suivante en haut
auth required pam_google_authenticator.so
Ouvrez le fichier de configuration SSH et assurez-vous que le "ChallengeResponseAuthentication ' la ligne est définie sur oui
ChallengeResponseAuthentication yes
Enregistrez les modifications et redémarrez le service SSH :
service sshd restart
Désormais, chaque fois que vous essayez de vous connecter en SSH à votre serveur, vous serez invité à saisir le code de vérification affiché dans votre application Google Authenticator.
login as: Verification code: Password:
Bien sûr, si vous êtes l'un de nos clients Linux VPS Hosting, vous n'avez rien à faire de tout cela, demandez simplement à nos administrateurs, asseyez-vous et détendez-vous. Nos administrateurs vont configurer cela pour vous immédiatement. Pour les mises à jour, vous pouvez vous référer à Secure SSH en utilisant l'authentification à deux facteurs sur Ubuntu 16.04.
PS. Si vous avez aimé cet article, partagez-le avec vos amis sur les réseaux sociaux en utilisant les boutons à gauche ou laissez simplement une réponse ci-dessous. Merci.