Як додати двофакторну автентифікацію до вашого сервера Ubuntu

Двофакторна автентифікація - це додатковий рівень захисту, який можна використовувати для забезпечення додаткового захисту вашого сервера. Двофакторна автентифікація передбачає автентифікацію з іншого джерела, крім вашого імені користувача та пароля, для доступу до вашого сервера. Як тільки ми додамо двофакторну автентифікацію, ми не зможемо отримати доступ до нашого сервера Ubuntu без забезпечення автентифікації з джерела. У цьому блозі ми будемо використовувати Google Authenticator для забезпечення подвійної автентифікації сервера.

Встановлення Google Authenticator на Ubuntu

Перш за все ми встановимо Google Authenticator перед тим, як ми його використовуємо. Виконайте наступну команду на терміналі, щоб встановити його

[захищено електронною поштою]: ~ $ sudo apt-get install libpam-google-authenticate

Після встановлення Google Authenticator, тепер ми можемо використовувати його після налаштування.

Встановлення Google Authenticator на смартфоні

Отже, ви встановили Google Authenticator на вашому комп'ютері, тепер встановіть Google Authenticator на вашому смартфоні. Перейдіть за таким посиланням, щоб встановити цю програму.

https: // відтворення.Google.com / store / apps / details?id = com.Google.андроїд.програми.автентифікатор2 & hl = uk

Налаштування автентифікатора на Ubuntu

Для того, щоб налаштувати автентифікатор на сервері Ubuntu, дотримуйтесь наведеної процедури. Перш за все відкрийте файл конфігурації в редакторі nano. Наступна команда відкриє файл конфігурації автентифікатора

[захищено електронною поштою]: ~ $ sudo nano / etc / pam.г / загально-авт

Додайте наступний рядок у файл, як показано на наступному малюнку.

авторизація необхідна pam_google_authenticator.так

Тепер введіть наступну команду в терміналі, щоб розпочати Google Authenticator

[захищено електронною поштою]: ~ $ google-аутентифікатор

Коли ви запускаєте вищезазначену команду в терміналі Ubuntu, вона запитає, щоб аутентифікація маркерів була заснована на часі. Маркери автентифікації, засновані на часі, закінчуються через певний проміжок часу і є більш безпечними, ніж невремінні маркери автентифікації ... За замовчуванням маркери автентичності закінчуються через кожні 30 секунд. Тепер виберіть так, якщо ви хочете згенерувати маркери автентифікації на основі часу та натисніть Enter. Це було показано на наступному малюнку.

Коли ви натискаєте клавішу Enter, вона генерує такі облікові дані.

• QR-код які потрібно сканувати на смартфоні. Після сканування коду на смартфоні він негайно генерує маркер автентифікації, термін дії якого закінчується через кожні 30 секунд.
• Секретний ключ це ще один спосіб налаштування програми автентифікації на вашому смартфоні. Це корисно, коли ваш телефон не підтримує сканування QR-коду.
• Код підтвердження - це перший код підтвердження, який генерує QR-код
• Коди надзвичайних подряпин є резервними кодами. Якщо ви загубите пристрій автентифікації, ви можете використовувати ці коди для автентифікації. Ви повинні зберегти ці коди в безпечному місці, щоб використовувати їх на випадок втрати вашого пристрою автентифікації.

Він також просить оновити google_authenticator файл, як показано на наступному малюнку.

Тепер відскануйте QR-код із вашого Google Authenticator додаток, встановлений на вашому смартфоні, і створіть обліковий запис, натиснувши "Додати обліковий запис". Буде сформовано код, як показано на наступному малюнку. Цей код продовжує змінюватися через кожні 30 секунд, тому вам не потрібно його запам'ятовувати.

Після створення облікового запису на смартфоні. Тепер виберіть так, щоб оновити google_authenticator файл на терміналі Ubuntu і натисніть Enter, щоб оновити google_authenticator файл.

Після оновлення файлу автентифікатора Google він запитає, чи потрібно заборонити використовувати код автентифікації більше одного разу чи ні, як показано на наступному малюнку. За замовчуванням ви не можете використовувати кожен код двічі, і безпечно заборонити використовувати код автентифікації більше одного разу. Це безпечно, як якщо хтось отримує ваш код автентифікації, який ви використовували один раз, він не може потрапити на ваш сервер Ubuntu.

Наступне запитання, яке буде задано, - дозволити або заборонити вашому аутентифікатору приймати код автентифікації через короткий час після або до певного терміну дії маркера автентифікації, як показано на наступному малюнку. Згенеровані за часом коди підтвердження дуже чутливі до часу. Якщо ви виберете так, тоді ваш код буде прийнятий, якщо ви введете код автентифікації через короткий час після закінчення терміну дії коду. Це зменшить безпеку вашого сервера, тому відповідайте ні на це запитання.

Останнє запитання, яке задають під час налаштування автентифікатора на вашому сервері, полягає в обмеженні невдалих спроб входу протягом 30 секунд, як показано на малюнку нижче. Якщо ви виберете так, це не дозволить вам більше 3 невдалих спроб входу за 30 секунд. Вибравши так, ви можете ще більше підвищити безпеку свого сервера.

Тепер ви активували двофакторну автентифікацію на своєму сервері Ubuntu. Тепер ваш сервер вимагає подальшої автентифікації з автентифікатора Google, окрім пароля.

Тестування двофакторної автентифікації

Наразі ми застосували двофакторну автентифікацію до нашого сервера Ubuntu. Зараз ми перевіримо двофакторну автентифікацію, працює вона чи ні. Перезапустіть систему, і якщо вона запитує автентифікацію, як показано на наступному малюнку, тоді автентифікатор працює.

Відновлення з двофакторної автентифікації

Якщо ви загубили свій смартфон і секретний ключ, ви можете відновити свій рахунок, дотримуючись процедури. Перш за все перезапустіть систему і коли GNU GRUB з'явиться меню, потім натисніть 'e', ​​переконуючись, що запис Ubuntu виділено, як показано на наступному малюнку.

Тепер знайдіть рядок, який починається з 'linux' і закінчується '$ vt_handoff', і додайте до цього рядка наступні слова, як це виділено на малюнку нижче.

системний.одиниця = порятунок.ціль

Тепер натисніть Ctrl + X, щоб зберегти зміни. Коли ви зберігаєте це, з'являється командний рядок із запитом пароля root. Введіть свій пароль користувача, щоб розпочати.

Тепер виконайте наступну команду, замінивши "username" на ім'я користувача вашого пристрою, щоб видалити ".google_authenticator '.

[захищено електронною поштою]: ~ # rm / home / username /.google_authenticator

Після цього виконайте наступну команду для редагування файлу конфігурації

[захищено електронною поштою]: ~ # nano / etc / pam.г / загально-авт

Тепер видаліть наступний рядок у цьому файлі та збережіть його.

авторизація необхідна pam_google_authenticator.так

Тепер перезавантажте систему, виконавши наступну команду в командному рядку

[захищено електронною поштою]: ~ # перезавантажити

Тепер ви можете увійти на свій сервер, не вимагаючи автентифікації Google.

Висновок

У цьому блозі було пояснено двофакторну автентифікацію. Двофакторна автентифікація додає додатковий рівень захисту вашого сервера. Як правило, для входу на ваш сервер вам потрібні лише ваше ім’я користувача та пароль, але після застосування двофакторної автентифікації вам також знадобиться код автентифікації разом із іменем користувача та паролем. Це забезпечує додатковий захист вашого сервера. Якщо комусь вдається отримати ваш пароль, він не зможе увійти на ваш сервер через автентифікатор.