Nesse cenário, mesmo que um hacker obtenha uma senha do PayPal ou de hospedagem, ele não poderá fazer login sem o código de confirmação enviado ao telefone ou e -mail da vítima.
Implementar a autenticação de dois fatores é uma das melhores práticas para proteger nossos emails, contas de rede social, hospedagem e muito mais. Infelizmente, nosso sistema não é a exceção.
Este tutorial mostra como implementar a autenticação de dois fatores para proteger seu acesso SSH usando o Google Authenticator ou Authy-SSH. O Google Authenticator permite que você verifique um login usando o aplicativo móvel, enquanto o Authy-SSH pode ser implementado sem um aplicativo usando a verificação de SMS.
Autenticação de dois fatores Linux usando o Google Authenticator
Observação: Antes de continuar, verifique se você tem o Google Authenticator instalado no seu dispositivo móvel.
Para iniciar, execute o seguinte comando para instalar o Google Authenticator (distribuições Linux baseadas no Debian):
sudo apt install libpam-google-autenticator -y
Para instalar o Google Authenticator nas distribuições Linux baseadas em Red Hat (CentOS, Fedora), execute o seguinte comando:
sudo dnf install google -autenticator -y
Depois de instalado, execute o Google Authenticator, conforme mostrado na captura de tela abaixo.
Google-autenticador
Como você pode ver, um código QR aparece. Você precisa adicionar a nova conta clicando no + Ícone no seu aplicativo móvel do Google Authenticator e selecione Digitalize o código QR.
O Google Authenticator também fornecerá códigos de backup que você precisa imprimir e economizar caso você perca o acesso ao seu dispositivo móvel.
Você receberá algumas perguntas, que são detalhadas abaixo, e você pode aceitar todas as opções padrão selecionando Y Para todas as perguntas:
Depois que o Google Authenticator estiver instalado, você precisa editar o arquivo /etc/pam.d/sshd Para adicionar um novo módulo de autenticação. Use Nano ou qualquer outro editor, conforme mostrado na captura de tela abaixo para editar o arquivo /etc /pam.d/sshd:
nano /etc /pam.d/sshd
Adicione a seguinte linha a /etc /pam.d/sshd como mostrado na imagem abaixo:
Auth Necessou Pam_Google_Authenticator.Então Nullok
Observação: Instruções de chapéu vermelho mencionam uma linha contendo #auth subestack-senha-senha. Se você encontrar esta linha em seu /etc /pam.d./sshd, comente sobre isso.
Salvar /etc /pam.d./sshd e edite o arquivo /etc/ssh/sshd_config Conforme mostrado no exemplo abaixo:
nano/etc/ssh/sshd_config
Encontre a linha:
#ChallengerSoSonseAuthentication no
Descomamento nele e substituir não com sim:
ChallengerSesponseauthentication Sim
Saia salvando alterações e reinicie o serviço SSH:
sudo systemctl reiniciar sshd.serviço
Você pode testar a autenticação de dois fatores conectando-se à sua localhost, como mostrado abaixo:
ssh localhost
Você pode encontrar o código em seu aplicativo móvel de autenticação do Google. Sem esse código, ninguém poderá acessar seu dispositivo através do SSH. Nota: Este código muda após 30 segundos. Portanto, você precisa verificar isso rápido.
Como você pode ver, o processo 2FA funcionou com sucesso. Abaixo, você pode encontrar as instruções para uma implementação 2FA diferente usando SMS em vez de um aplicativo móvel.
Autenticação de dois fatores Linux usando authy-ssh (SMS)
Você também pode implementar a autenticação de dois fatores usando authy (Twilio). Para este exemplo, um aplicativo móvel não será necessário e o processo será feito através da verificação de SMS.
Para começar, vá para https: // www.Twilio.com/try-twilio e preencher o formulário de registro.
Escreva e verifique seu número de telefone:
Verifique o número de telefone usando o código enviado pelo SMS:
Uma vez registrado, vá para https: // www.Twilio.com/console/authy e pressione o Iniciar botão:
Clique no Verifique o número de telefone Botão e siga as etapas para confirmar seu número:
Verifique seu número:
Uma vez verificado, retorne ao console clicando em Voltar ao console:
Selecione um nome para a API e clique em Crie aplicativo:
Preencha as informações solicitadas e pressione Fazer pedido:
Selecione Token de SMS e pressione Fazer pedido:
Vá para https: // www.Twilio.com/console/authy/aplicativos e clique no aplicativo que você criou nas etapas anteriores:
Uma vez selecionado, você verá no menu esquerdo a opção Configurações. Clique em Configurações e copie o Chave da API de produção. Vamos usá -lo nas etapas seguintes:
Do console, download Authy-ssh executando o seguinte comando:
clone git https: // github.com/authy/authy-ssh
Em seguida, digite o diretório authy-ssh:
CD Authy-SSH
Dentro da execução do diretório Authy-SSH:
sudo bash authy-ssh install/usr/local/bin
Você será solicitado a colar o Chave da API de produção Eu solicitei que você copie, colte e pressione DIGITAR continuar.
Quando perguntado sobre ação padrão quando a API.Authy.com não pode ser contatado, selecione 1. E pressione DIGITAR.
Observação: Se você colar uma chave de API errada, poderá editá -la no arquivo /usr/local/bin/authy-ssh.conf Como mostrado na imagem abaixo. Substitua o conteúdo após "api_key =" pela sua chave da API:
Ativar authy-ssh executando:
sudo/usr/local/bin/authy-ssh atabille 'whoami'
Preencha as informações necessárias e pressione Y:
Você pode testar a execução de authy-ssh:
Teste authy-ssh
Como você pode ver, o 2FA está funcionando corretamente. Reinicie o serviço SSH, execute:
SUDO Service SSH Reiniciar
Você também pode testá -lo conectando -se através do SSH ao localhost:
Como ilustrado, o 2FA funcionou com sucesso.
Authy oferece opções 2FA adicionais, incluindo verificação de aplicativos móveis. Você pode ver todos os produtos disponíveis em https: // authy.coma.
Conclusão:
Como você pode ver, o 2FA pode ser facilmente implementado por qualquer nível de usuário do Linux. Ambas as opções mencionadas neste tutorial podem ser aplicadas em minutos.
SSH-Authy é uma excelente opção para usuários sem smartphones que não podem instalar um aplicativo móvel.
A implementação de verificação em duas etapas pode impedir qualquer tipo de ataque baseado em login, incluindo ataques de engenharia social, muitos dos quais se tornaram obsoletos com essa tecnologia, porque a senha da vítima não é suficiente para acessar as informações da vítima.
Outras alternativas do Linux 2fa incluem Freeotp (Red Hat), Autenticador mundial, e cliente OTP, mas algumas dessas opções oferecem apenas autenticação dupla do mesmo dispositivo.
Espero que você tenha achado este tutorial útil. Continue seguindo o Linux Dint para mais dicas e tutoriais do Linux.