Autenticação de dois fatores Linux

Mr. Warren Cummerata
Autenticação de dois fatores Linux
Autenticação de dois fatores (2FA) é um processo de login que consiste em um mecanismo de autenticação dupla. A maioria das implementações conhecidas inclui o SMS clássico ou a confirmação de código de e -mail para navegadores e dispositivos novos/desconhecidos.

Nesse cenário, mesmo que um hacker obtenha uma senha do PayPal ou de hospedagem, ele não poderá fazer login sem o código de confirmação enviado ao telefone ou e -mail da vítima.

Implementar a autenticação de dois fatores é uma das melhores práticas para proteger nossos emails, contas de rede social, hospedagem e muito mais. Infelizmente, nosso sistema não é a exceção.

Este tutorial mostra como implementar a autenticação de dois fatores para proteger seu acesso SSH usando o Google Authenticator ou Authy-SSH. O Google Authenticator permite que você verifique um login usando o aplicativo móvel, enquanto o Authy-SSH pode ser implementado sem um aplicativo usando a verificação de SMS.

Autenticação de dois fatores Linux usando o Google Authenticator

Observação: Antes de continuar, verifique se você tem o Google Authenticator instalado no seu dispositivo móvel.

Para iniciar, execute o seguinte comando para instalar o Google Authenticator (distribuições Linux baseadas no Debian):

sudo apt install libpam-google-autenticator -y

Para instalar o Google Authenticator nas distribuições Linux baseadas em Red Hat (CentOS, Fedora), execute o seguinte comando:

sudo dnf install google -autenticator -y

Depois de instalado, execute o Google Authenticator, conforme mostrado na captura de tela abaixo.

Google-autenticador

Como você pode ver, um código QR aparece. Você precisa adicionar a nova conta clicando no + Ícone no seu aplicativo móvel do Google Authenticator e selecione Digitalize o código QR.

O Google Authenticator também fornecerá códigos de backup que você precisa imprimir e economizar caso você perca o acesso ao seu dispositivo móvel.

Você receberá algumas perguntas, que são detalhadas abaixo, e você pode aceitar todas as opções padrão selecionando Y Para todas as perguntas:

  • Depois de digitalizar o código QR, o processo de instalação exigirá permissão para editar sua casa. Imprensa Y Para continuar a próxima pergunta.
  • A segunda pergunta recomenda desativar vários logins usando o mesmo código de verificação. Imprensa Y continuar.
  • A terceira pergunta refere -se ao tempo de validade para cada código gerado. Novamente, você pode permitir o tempo, pressione Y continuar.
  • Ativar limitação de taxa, até 3 log em tentativas a cada 30 anos. Imprensa Y continuar.

Depois que o Google Authenticator estiver instalado, você precisa editar o arquivo /etc/pam.d/sshd Para adicionar um novo módulo de autenticação. Use Nano ou qualquer outro editor, conforme mostrado na captura de tela abaixo para editar o arquivo /etc /pam.d/sshd:

nano /etc /pam.d/sshd

Adicione a seguinte linha a /etc /pam.d/sshd como mostrado na imagem abaixo:

Auth Necessou Pam_Google_Authenticator.Então Nullok

Observação: Instruções de chapéu vermelho mencionam uma linha contendo #auth subestack-senha-senha. Se você encontrar esta linha em seu /etc /pam.d./sshd, comente sobre isso.

Salvar /etc /pam.d./sshd e edite o arquivo /etc/ssh/sshd_config Conforme mostrado no exemplo abaixo:

nano/etc/ssh/sshd_config

Encontre a linha:

#ChallengerSoSonseAuthentication no

Descomamento nele e substituir não com sim:

ChallengerSesponseauthentication Sim

Saia salvando alterações e reinicie o serviço SSH:

sudo systemctl reiniciar sshd.serviço

Você pode testar a autenticação de dois fatores conectando-se à sua localhost, como mostrado abaixo:

ssh localhost

Você pode encontrar o código em seu aplicativo móvel de autenticação do Google. Sem esse código, ninguém poderá acessar seu dispositivo através do SSH. Nota: Este código muda após 30 segundos. Portanto, você precisa verificar isso rápido.

Como você pode ver, o processo 2FA funcionou com sucesso. Abaixo, você pode encontrar as instruções para uma implementação 2FA diferente usando SMS em vez de um aplicativo móvel.

Autenticação de dois fatores Linux usando authy-ssh (SMS)

Você também pode implementar a autenticação de dois fatores usando authy (Twilio). Para este exemplo, um aplicativo móvel não será necessário e o processo será feito através da verificação de SMS.

Para começar, vá para https: // www.Twilio.com/try-twilio e preencher o formulário de registro.

Escreva e verifique seu número de telefone:

Verifique o número de telefone usando o código enviado pelo SMS:

Uma vez registrado, vá para https: // www.Twilio.com/console/authy e pressione o Iniciar botão:

Clique no Verifique o número de telefone Botão e siga as etapas para confirmar seu número:

Verifique seu número:

Uma vez verificado, retorne ao console clicando em Voltar ao console:

Selecione um nome para a API e clique em Crie aplicativo:

Preencha as informações solicitadas e pressione Fazer pedido:

Selecione Token de SMS e pressione Fazer pedido:

Vá para https: // www.Twilio.com/console/authy/aplicativos e clique no aplicativo que você criou nas etapas anteriores:

Uma vez selecionado, você verá no menu esquerdo a opção Configurações. Clique em Configurações e copie o Chave da API de produção. Vamos usá -lo nas etapas seguintes:

Do console, download Authy-ssh executando o seguinte comando:

clone git https: // github.com/authy/authy-ssh

Em seguida, digite o diretório authy-ssh:

CD Authy-SSH

Dentro da execução do diretório Authy-SSH:

sudo bash authy-ssh install/usr/local/bin

Você será solicitado a colar o Chave da API de produção Eu solicitei que você copie, colte e pressione DIGITAR continuar.

Quando perguntado sobre ação padrão quando a API.Authy.com não pode ser contatado, selecione 1. E pressione DIGITAR.

Observação: Se você colar uma chave de API errada, poderá editá -la no arquivo /usr/local/bin/authy-ssh.conf Como mostrado na imagem abaixo. Substitua o conteúdo após "api_key =" pela sua chave da API:

Ativar authy-ssh executando:

sudo/usr/local/bin/authy-ssh atabille 'whoami'

Preencha as informações necessárias e pressione Y:

Você pode testar a execução de authy-ssh:

Teste authy-ssh

Como você pode ver, o 2FA está funcionando corretamente. Reinicie o serviço SSH, execute:

SUDO Service SSH Reiniciar

Você também pode testá -lo conectando -se através do SSH ao localhost:

Como ilustrado, o 2FA funcionou com sucesso.

Authy oferece opções 2FA adicionais, incluindo verificação de aplicativos móveis. Você pode ver todos os produtos disponíveis em https: // authy.coma.

Conclusão:

Como você pode ver, o 2FA pode ser facilmente implementado por qualquer nível de usuário do Linux. Ambas as opções mencionadas neste tutorial podem ser aplicadas em minutos.

SSH-Authy é uma excelente opção para usuários sem smartphones que não podem instalar um aplicativo móvel.

A implementação de verificação em duas etapas pode impedir qualquer tipo de ataque baseado em login, incluindo ataques de engenharia social, muitos dos quais se tornaram obsoletos com essa tecnologia, porque a senha da vítima não é suficiente para acessar as informações da vítima.

Outras alternativas do Linux 2fa incluem Freeotp (Red Hat), Autenticador mundial, e cliente OTP, mas algumas dessas opções oferecem apenas autenticação dupla do mesmo dispositivo.

Espero que você tenha achado este tutorial útil. Continue seguindo o Linux Dint para mais dicas e tutoriais do Linux.

C nítido
Quebre e continue declarações em C#
A declaração de quebra pode sair de um loop mais cedo, enquanto continua pode pular sobre certas ite...
Benny Hilll DDS
C Programação
Livros e guias para a linguagem C
Existem 6 livros e guias úteis para aprender a linguagem C. Siga este artigo para aprender em detalh...
Tommie Konopelski
C nítido
Como usar uma palavra -chave longa em C#
A palavra -chave longa em C# pode definir uma variável que pode conter um valor inteiro assinado ent...
Ed Treutel IV
Pitão
Filtrar nan pandas
Benny Hilll DDS
Docker
Qual é o objetivo de um docker-compor.Arquivo YML no Docker?
Shaun Bogan
php
Como usar o Array_Reverse Função no PHP
Bryant Rowe Sr.
Java
Como usar a palavra -chave de byte em java
Salvatore Watsica
JavaScript
Como usar a propriedade Mouseevent Screenx em JavaScript
Benny Hilll DDS
Docker
Como parar todos os serviços do Docker?
Tommie Konopelski
php
Qual é a diferença entre .= e += operadores em php
Joey Bartoletti
AWS
O que são funções de etapas da AWS e como usá -las?
Bryant Rowe Sr.
Wireshark
Entendendo o DHCP usando o Wireshark
Tommie Konopelski
php
Como anexar a uma matriz no PHP?
Carl Hintz DDS