Как добавить двухфакторную аутентификацию на ваш сервер Ubuntu

Двухфакторная аутентификация - это дополнительный уровень безопасности, который можно использовать для обеспечения дополнительной безопасности вашего сервера. Двухфакторная аутентификация включает аутентификацию из другого источника, кроме вашего имени пользователя и пароля для доступа к вашему серверу. После добавления двухфакторной аутентификации мы не сможем получить доступ к нашему серверу Ubuntu без аутентификации из источника. В этом блоге мы будем использовать Google Authenticator для обеспечения двойной аутентификации на сервере.

Установка Google Authenticator в Ubuntu

Первым делом установим Google Authenticator прежде чем мы воспользуемся этим. Выполните следующую команду в терминале, чтобы установить его

[электронная почта защищена]: ~ $ sudo apt-get install libpam-google-authenticationator

После установки Google Authenticator, теперь мы можем использовать его после настройки.

Установка Google Authenticator на смартфон

Итак, вы установили Google Authenticator на вашем компьютере, теперь установите Google Authenticator приложение на вашем смартфоне. Перейдите по следующей ссылке, чтобы установить это приложение.

https: // играть.Google.com / store / apps / подробности?id = com.Google.андроид.Программы.аутентификатор2 & hl = ru

Настройка Authenticator в Ubuntu

Чтобы настроить аутентификатор на сервере Ubuntu, следуйте данной процедуре. Прежде всего откройте файл конфигурации в редакторе nano. Следующая команда откроет файл конфигурации аутентификатора

[электронная почта защищена]: ~ $ sudo nano / etc / pam.d / common-auth

Добавьте в файл следующую строку, как показано на следующем рисунке.

требуется авторизация pam_google_authenticator.так

Теперь введите следующую команду в терминале, чтобы начать работу с Google Authenticator

[электронная почта защищена]: ~ $ google-аутентификатор

Когда вы запускаете указанную выше команду в терминале Ubuntu, она запрашивает аутентификацию для токенов, основанную на времени. Срок действия токенов аутентификации на основе времени истекает через определенное время и является более безопасным, чем токены аутентификации, основанные на времени… По умолчанию токены истекают через каждые 30 секунд. Теперь выберите Да, если вы хотите сгенерировать токены аутентификации на основе времени, и нажмите Enter. Это показано на следующем рисунке.

Когда вы нажмете Enter, он сгенерирует следующие учетные данные.

• QR код который вам нужно сканировать на вашем смартфоне. Как только вы отсканируете код на своем смартфоне, он немедленно сгенерирует токен аутентификации, срок действия которого истекает каждые 30 секунд.
• Секретный ключ еще один способ настроить приложение-аутентификатор на вашем смартфоне. Это полезно, когда ваш телефон не поддерживает сканирование QR-кода.
• Проверяющий код это первый проверочный код, который генерирует QR-код
• Экстренные скретч-коды резервные коды. Если вы потеряете свое устройство аутентификации, вы можете использовать эти коды для аутентификации. Вы должны сохранить эти коды в надежном месте, чтобы использовать их в случае потери устройства аутентификации.

Он также просит обновить google_authenticator файл, как показано на следующем рисунке.

Теперь отсканируйте QR-код с вашего Google Authenticator приложение, установленное на вашем смартфоне, и создайте учетную запись, нажав на «Добавить аккаунт". Будет сгенерирован код, показанный на следующем рисунке. Этот код меняется каждые 30 секунд, поэтому вам не нужно его запоминать.

После того, как вы создали учетную запись на своем смартфоне. Теперь выберите да, чтобы обновить google_authenticator файл на терминале Ubuntu и нажмите Enter, чтобы обновить google_authenticator файл.

После обновления файла аутентификации Google он спросит, хотите ли вы запретить использование кода аутентификации более одного раза или нет, как показано на следующем рисунке. По умолчанию вы не можете использовать каждый код дважды, и можно безопасно запретить использование кода аутентификации более одного раза. Это безопасно, так как если кто-то получит ваш код аутентификации, который вы использовали однажды, он не сможет попасть на ваш сервер Ubuntu.

Следующий вопрос, который будет задан, - разрешить или запретить вашему аутентификатору принимать код аутентификации через короткое время после или до определенного времени истечения срока действия токена аутентификации, как показано на следующем рисунке. Сгенерированные по времени проверочные коды очень чувствительны ко времени. Если вы выберете «Да», то ваш код будет принят, если вы введете код аутентификации через короткое время после истечения срока действия кода. Это снизит безопасность вашего сервера, поэтому ответьте нет на этот вопрос.

Последний вопрос, который задают при настройке аутентификатора на вашем сервере, - ограничить количество неудачных попыток входа в систему за 30 секунд, как показано на рисунке ниже. Если вы выберете «Да», то это не позволит вам более 3 неудачных попыток входа в систему за 30 секунд. Выбрав "Да", вы можете еще больше повысить безопасность своего сервера.

Теперь вы активировали двухфакторную аутентификацию на своем сервере Ubuntu. Теперь ваш сервер требует дополнительной аутентификации от аутентификатора Google, кроме пароля.

Тестирование двухфакторной аутентификации

До сих пор мы применили двухфакторную аутентификацию к нашему серверу Ubuntu. Теперь мы собираемся протестировать двухфакторный аутентификатор, работает он или нет. Перезагрузите систему, и если она запрашивает аутентификацию, как показано на следующем рисунке, значит, аутентификатор работает.

Восстановление после двухфакторной аутентификации

Если вы потеряли свой смартфон и секретный ключ, вы можете восстановить свою учетную запись, выполнив следующую процедуру. Прежде всего перезагрузите систему, и когда GNU GRUB появится меню, затем нажмите 'e', ​​убедившись, что запись Ubuntu выделена, как показано на следующем рисунке.

Теперь найдите строку, которая начинается с «linux» и заканчивается на «$ vt_handoff», и добавьте в эту строку следующие слова, как показано на рисунке ниже.

systemd.юнит = спасение.цель

Теперь нажмите Ctrl + X, чтобы сохранить изменения. Когда вы сохраняете это, появляется командная строка и запрашивает пароль root. Введите свой пароль root, чтобы начать.

Теперь выполните следующую команду после замены 'username' на имя пользователя вашего устройства, чтобы удалить '.файл google_authenticator.

[электронная почта защищена]: ~ # rm / home / username /.google_authenticator

После этого выполните следующую команду, чтобы отредактировать файл конфигурации

[электронная почта защищена]: ~ # nano / etc / pam.d / common-auth

Теперь удалите следующую строку в этом файле и сохраните ее.

требуется авторизация pam_google_authenticator.так

Теперь перезагрузите вашу систему, выполнив следующую команду в командной строке

[электронная почта защищена]: ~ # перезагрузка

Теперь вы можете войти на свой сервер, не требуя аутентификации Google.

Заключение

В этом блоге объясняется двухфакторная аутентификация. Двухфакторная аутентификация добавляет дополнительный уровень безопасности вашему серверу. Как правило, для входа на сервер вам нужны только имя пользователя и пароль, но после применения двухфакторной аутентификации вам также понадобится код аутентификации вместе с именем пользователя и паролем. Обеспечивает дополнительную безопасность вашему серверу. Если кому-то удастся получить ваш пароль, он не сможет войти на ваш сервер из-за аутентификатора.