Configurer l'authentification à deux facteurs à l'aide de Google Authenticator

Ce guide fournit un aperçu de la configuration de l'authentification à deux facteurs (2FA) à l'aide de Google® Authenticator™.

De nombreuses personnes utilisent Google Authenticator pour sécuriser leurs applications Google, telles que Gmail™. Cependant, vous pouvez également utiliser l'authentification à deux facteurs pour vos connexions Secure Shell (SSH).

L'utilisation de SSH peut vous protéger contre l'utilisation par inadvertance de mots de passe faibles qui peuvent conduire à une attaque par force brute réussie. Ce guide vous montre comment implémenter Google Authenticator sur des serveurs qui exécutent les distributions CentOS® 6 et Ubuntu® 12.04 Linux®.

Important  :Après avoir suivi les étapes de ce guide, tous vos utilisateurs (y compris root) doivent utiliser Google Authenticator pour se connecter via SSH, sauf si vous disposez déjà de clés SSH. Vérifiez auprès de vos équipes d'administration avant de configurer Google Authenticator pour vous assurer que vous ne désactivez pas accidentellement leur accès ou que vous ne vous empêchez pas d'utiliser SSH.

Installer le module

Pour installer le module Google Authenticator, ouvrez une interface de ligne de commande (CLI) et suivez les instructions correspondant à votre distribution.

Systèmes basés sur Red Hat 6

Installez le module sur Red Hat® 6 en exécutant les commandes suivantes :

rpm -ivh https://linux.mirrors.es.net/fedora-epel/6/x86_64/epel-release-6-7.noarch.rpm
yum install google-authenticator

Systèmes basés sur Debian

Utilisez les étapes suivantes pour installer le module sur les systèmes basés sur Debian® :

1. Installez le module sur Debian en exécutant la commande suivante :

   aptitude install libpam-google-authenticator
   

2. Ensuite, ouvrez le fichier /etc/pam.d/sshd fichier et ajoutez la ligne suivante à la fin de auth rubrique :

   auth required pam_google_authenticator.so
   

3. Ouvrez votre /etc/ssh/sshd_config fichier et modifier le ChallengeResponseAuthentication no à ChallengeResponseAuthentication yes .

4. Utilisez la commande suivante pour redémarrer sshd :

   • Sur Red Hat :

     service sshd restart
     

   • Sur le système d'exploitation Ubuntu :

     service ssh restart
     

Configurer les clés pour l'utilisateur

Procédez comme suit pour configurer les clés de l'utilisateur :

1. Exécutez la commande suivante :

   google-authenticator
   

2. Répondez yes lorsque vous êtes invité à mettre à jour votre fichier ~/.google_authenticator et répondez aux trois invites suivantes.

Une fois ces étapes terminées, les informations suivantes s'affichent :

• Nouvelle clé secrète
• Code de vérification
• Codes à gratter d'urgence

Utilisez la nouvelle clé secrète pour ajouter le compte à l'application GoogleAuthenticator de votre téléphone. Notez les codes à gratter d'urgence et stockez-les dans un endroit sûr. Vous pouvez les utiliser si vous perdez votre smartphone ou si vous devez vous connecter à votre compte sans utiliser l'application Google Authenticator de votre téléphone.

Désormais, lorsque vous vous connectez à votre serveur sous votre compte utilisateur, vous êtes invité à entrer votre jeton d'authentification Google et votre mot de passe standard pour le serveur. Tous les comptes qui n'ont pas cette configuration ne sont pas autorisés à se connecter.