本教程将向您展示如何使用著名的Google Authenticator在Ubuntu服务器上设置SSH双重因素认证。它将大大提高Ubuntu服务器上SSH服务的安全性。
通常,您只需要输入密码或使用SSH密钥即可远程登录Ubuntu服务器。两因素身份验证(2FA)要求您输入两条验证信息才能登录。因此,您还需要输入基于时间的一次性密码才能登录SSH服务器。使用IETF标准的TOTP算法计算一次密码。如今,许多网站和服务为用户提供2FA保护其帐户的安全,最好在SSH服务器上启用2FA。
本教程将向您展示如何设置
①使用一次性密码进行密码认证
②使用一次性密码的公钥认证
注意:本文中将使用的开源服务器软件称为libpam-google-authenticator,它是从默认Ubuntu存储库安装的。Google不以任何形式参与任何身份验证过程。服务器软件和移动应用程序不需要网络访问。
1、在Ubuntu服务器上安装和配置Google Authenticator
登录您的Ubuntu服务器并运行以下命令,以从默认Ubuntu软件包存储库安装Google Authenticator。
sudo apt install libpam-google-authenticator
然后运行google-authenticator命令在您的主目录中创建一个新的密钥。
google-authenticator
当被问到“您是否希望身份验证令牌基于时间?” 回答y。
然后,您将看到可以使用手机上的应用程序扫描的QR二维码。我推荐两个应用程序:
Google Authenticator是最著名的TOTP移动应用。您可以通过手机上的Google Play或Apple应用商店安装它。
在谷歌身份验证器移动应用程序是不是开源。如果您不信任Google,则可以使用FreeOTP,这是Red Hat开发的开源TOTP移动应用程序。
使用手机上的Google Authenticator或FreeOTP扫描QR码。请注意,您需要放大终端窗口以扫描完整的QR码。
QR码代表密钥,只有您的SSH服务器和TOTP移动应用知道该密钥。扫描QR码后,您将在手机上看到一个六位数的一次性密码。默认情况下,它每30秒更改一次。您稍后需要输入此一次性密码,以便通过SSH登录Ubuntu服务器。
在终端窗口中,您可以看到密钥,验证码和紧急暂存码。建议您将此信息保存到安全的地方以备后用。
然后,您可以输入y回答所有剩余的问题。这将更新您的Google Authenticator配置文件,禁用同一身份验证令牌的多次使用,增加时间范围并启用速率限制以防止强行登录尝试。
2、将SSH守护程序配置为使用Google Authenticator
打开SSH服务器配置文件。
sudo nano /etc/ssh/sshd_config
在文件中找到以下两个参数,并确保将它们都设置为yes。
UsePAM yes
ChallengeResponseAuthentication yes
PAM代表可插入身份验证模块。它提供了一种简便的方法,可以将不同的身份验证方法插入Linux系统。要通过SSH启用Google Authenticator,必须启用PAM和质询响应身份验证。保存并关闭文件。然后重新启动SSH守护程序,以使更改生效。
sudo systemctl restart ssh
注意:要允许root用户使用2FA,必须先允许root用户通过SSH登录,配置为PermitRootLogin yes。不能是 PermitRootLogin no 或 PermitRootLogin prohibit-password。
默认情况下,质询-响应身份验证要求您输入用户密码才能登录。现在,为SSH守护程序编辑PAM规则文件。
sudo nano /etc/pam.d/sshd
在此文件的开头,您可以看到以下行,当ChallengeResponseAuthentication设置为时,它将启用密码验证yes。
@include common-auth
要同时启用一次性密码身份验证,请添加以下两行。
#One-time password authentication via Google Authenticator
auth required pam_google_authenticator.so
保存并关闭文件。从现在开始,SSH守护程序将要求您输入用户密码和验证码(由Google Authenticator生成的一次性密码)。
3、如何启用公钥身份验证和一次性密码身份验证
对于SSH安全性,建议您使用公钥身份验证而不是密码身份验证。
一旦设置了公共密钥身份验证并按照上述两个步骤进行操作,就可以将公共密钥身份验证与一次性密码身份验证结合使用。
编辑SSH守护程序配置文件。
sudo nano /etc/ssh/sshd_config
在上一步中,我们启用了质询响应认证,现在我们想让SSH守护进程知道用户必须同时通过公钥认证和质询响应认证。在此文件的末尾添加以下行。
AuthenticationMethods publickey,keyboard-interactive
保存并关闭文件。重新启动SSH守护程序,以使更改生效。
sudo systemctl restart ssh
我们还需要编辑SSH PAM配置文件。
sudo nano /etc/pam.d/sshd
注释掉以下行(在开头添加#)以禁用用户密码身份验证。
@include common-auth
保存并关闭文件。从现在开始,您需要使用SSH密钥和Google Authenticator验证码登录。
笔记
Ubuntu服务器上的每个用户都需要运行google-authenticator命令并扫描QR码,才能使用两因素身份验证。如果用户未设置并尝试登录,则将显示错误消息“ 权限被拒绝(键盘交互) ”。
紧急暂存代码是您的备用代码。如果您丢失了手机,则可以输入五个紧急暂存代码之一而不是一次性密码来完成两步验证。这些代码仅供一次性使用。
如果要更改密钥,只需登录服务器并google-authenticator再次运行命令以更新~/.google_authenticator文件。
由于一次性密码是使用共享密钥和当前时间计算的,因此最好在Ubuntu服务器上启用NTP时间同步以保持准确的时间,尽管以前我们允许Ubuntu之间的时间偏差为4分钟服务器和移动应用。您的Ubuntu服务器和TOTP移动应用可以使用不同的时区。
4、如何禁用SSH两因素身份验证
编辑SSH守护程序配置文件。
sudo nano /etc/ssh/sshd_config
查找以下行。
AuthenticationMethods publickey,keyboard-interactive
删除键盘交互式身份验证方法。
AuthenticationMethods publickey
保存并关闭文件。然后重新启动SSH守护程序。
sudo systemctl restart ssh
希望本教程可以帮助您在Ubuntu服务器18.04和18.10上设置SSH两因素身份验证。
注意:现在服务器报价出炉,价格很低
1、腾讯云:限时 2860 元无门槛优惠券:点击一键领取。
2、腾讯云最新优惠活动,3年/5年服务器限时抢购:点击前往。
3、阿里云:限时 2000 元无门槛优惠券:点击一键领取。
