UbuntuとDebianにおいて、ダブルファクタ認証を有効にする3つの代替案
SSHサーバーにはどのように3つの異なるデュアル因子認証方式をインストールしますか?
今は、セキュリティが以前より重要であり、SSHサーバを保護することがシステム管理者として最も重要なことの一つです。これは、従来、パスワード認証を無効にしてSSH鍵に切り替えることを意味する。これはあなたがまずすべきことに違いないですが、SSHがもっと安全になれないという意味ではないです。
ダブル因子認証とは、2つの認証が必要とされて登録されます。パスワードとSSH鍵であっても良いし、Googleなどのサードパーティサービスであっても良い。これは、単一の検証方法のリークがサーバに危険を及ぼすことがないことを意味する。
以下のガイドはSSHのための二重因子検証を有効にする3つの方法である。
SSH設定を変更すると、サーバーに接続された第二の端末があることを常に確認してください。第二の端末はSSH構成においてあなたが犯したミスを修復できるという意味です。開いている端末はずっと保持されます。SSHサービスが再開されても。
SSH鍵とパスワード
SSHはログイン要求に対して一つ以上の身分認証方法をサポートします。
Authentication Methods「publickey、password」
使用状況に応じてこれらの方法を設定したいなら、以下の追加構成を使ってください。
Match User jsmith
Authentication Methods「publickey、password」
編集したときには、新しいsshdを保存します。configファイルは以下のプログラムを実行することによって、あなたが何の間違いもないことを確認します。
SSH:
パスワードが必要な認証方法に設定されている場合は、
Google AuthenticatorのSSHを使用します。
GoogleがGoogle自身の製品で使うダブルファクタ認証システムは、あなたのSSHサーバに統合できます。もしあなたが既にGoogleを使ったら
Authenticatorなら、この方法はとても便利です。
libpam-google-authenticatorはGoogleで編集したのですが、それはソースです。また、Google AuthenticatorはGoogleで作成されていますが、Googleアカウントが必要ではありません。おかげでシタームCharmartyの貢献。
まだ携帯電話にGoogle Authenticatorをインストールしていない場合は、ここですの説明を参照してください。
まず、Google Authenticationインストールパッケージをサーバにインストールする必要があります。以下のコマンドは、あなたのシステムを更新し、必要なパッケージをインストールします。
Your new secret key is:VMFY 27 TYDFRDNKFY
Your veriflication code is 259652
Your emmergency scratch codes are:
96915246
70222983
31822707
2581286
2891999
これらのコードはすべてパスワードマネージャのように安全な位置に記録してください。scratch codesは単一の使用コードです。携帯が使えなくても、いつもアクセスが許可されます。
サーバをAuthenticator APPに登録するには、アプリケーションを開いて、右下の赤いプラス記号をクリックすればいいです。スキャンストリップコードオプションを選択して、端末に印刷された二次元コードをスキャンします。あなたのサーバーとアプリケーションは今接続されています。
サーバーに戻ります。SSH用のPAMを編集して、私たちがインストールしたばかりのアイデンティティ検証モジュールを使ってパッケージをインストールする必要があります。PAMは独立したシステムで、Linuxサーバー上の大多数の認証を担当しています。
修正が必要なSSH PAMファイルは
Authentication Methods「publickey,keyboard-interactive」
SSHサーバを再読み込みする前に、設定に何のエラーがないか確認したほうがいいです。以下のコマンドを実行します。
Veriflicationコード:
Authenticatitor APPを開き、サーバに表示される6桁のコードを入力します。
Authy
Authyは二重認証サービスであり、Googleと同様に時間ベースのコードを提供しています。しかし、Authyはデスクトップとタブレットクライアントを提供するために携帯電話を必要としない。これらはオフラインID検証もサポートしています。Googleアカウントは必要ありません。
アプリケーションストアからAuthyアプリケーションをインストールするか、またはAuthyからページにリンクされたデスクトップクライアントをダウンロードする必要があります。
アプリケーションをインストールした後、サーバーでAPI鍵を使用する必要があります。このプロセスにはいくつかのステップが必要です。ここにアカウントを登録します。 は、「Authy」部分に下方にスクロールする。 は、アカウント上でダブルファクタ認証(2 FA)を有効にする。 回「Authy」部分です。 は、あなたのサーバのための新しいアプリケーションを作成します。 は、新しいアプリケーションの「General Settings」ページの先頭からAPI鍵を取得する。「PRODUCTION API KEY」の隣の目のマークが必要です。鍵を表示します。図のように:
ある安全なところにAPI鍵を記録します。
現在、サーバに戻り、rootとして以下のコマンドを実行します。
Authyは既にインストールされています。しかし、ユーザーにそれを有効にする前には、作業を開始しません。Authyを有効にするコマンドは、以下の形式があります。
今、ログインすると、以下のヒントが見えます。
Authy Token(type'sms'to request a SMS token):
携帯電話やデスクトップクライアントのAuthyアプリのコードを入力できます。あるいはSMSを入力してもいいです。Authyはログインコード付きメールを送ります。
以下のコマンドを実行することでAuthyをアンマウントできます。
以上述べたように、UbuntuとDebianにダブルファクターの認証を有効にするための3つの代替案を紹介しました。皆さんのために役に立つことを望んでいます。もし何か質問があれば、メッセージをください。編集者はすぐに返事します。ここでも私たちのサイトを応援してくれてありがとうございます。
今は、セキュリティが以前より重要であり、SSHサーバを保護することがシステム管理者として最も重要なことの一つです。これは、従来、パスワード認証を無効にしてSSH鍵に切り替えることを意味する。これはあなたがまずすべきことに違いないですが、SSHがもっと安全になれないという意味ではないです。
ダブル因子認証とは、2つの認証が必要とされて登録されます。パスワードとSSH鍵であっても良いし、Googleなどのサードパーティサービスであっても良い。これは、単一の検証方法のリークがサーバに危険を及ぼすことがないことを意味する。
以下のガイドはSSHのための二重因子検証を有効にする3つの方法である。
SSH設定を変更すると、サーバーに接続された第二の端末があることを常に確認してください。第二の端末はSSH構成においてあなたが犯したミスを修復できるという意味です。開いている端末はずっと保持されます。SSHサービスが再開されても。
SSH鍵とパスワード
SSHはログイン要求に対して一つ以上の身分認証方法をサポートします。
/etc/sh/sshd_config
におけるSSHサーバ構成ファイルのAuthenticationMethods
オプションには、アイデンティティ認証方法が設定されている。/etc/ssh/sshd_config
に次の行を追加すると、SSHはSSH鍵を提出し、パスワードの入力を促す必要がある。Authentication Methods「publickey、password」
使用状況に応じてこれらの方法を設定したいなら、以下の追加構成を使ってください。
Match User jsmith
Authentication Methods「publickey、password」
編集したときには、新しいsshdを保存します。configファイルは以下のプログラムを実行することによって、あなたが何の間違いもないことを確認します。
sshd -t
SSHが起動できないことを引き起こす文法や他のエラーはここに表記されます。ssh-tの運転中にエラーがなく、systemtectlを使って再起動します。SSH:
systemctl restart sshd
新しい端末を使ってログインして、パスワードの入力を確認してください。SSH鍵が必要です。もしあなたがssh-vを使うなら、例えば:ssh -v [email protected]
ログインのすべてのステップが見えます。パスワードが必要な認証方法に設定されている場合は、
PasswordAuthentication
オプションがYESに設定されていることを確認してください。Google AuthenticatorのSSHを使用します。
GoogleがGoogle自身の製品で使うダブルファクタ認証システムは、あなたのSSHサーバに統合できます。もしあなたが既にGoogleを使ったら
Authenticatorなら、この方法はとても便利です。
libpam-google-authenticatorはGoogleで編集したのですが、それはソースです。また、Google AuthenticatorはGoogleで作成されていますが、Googleアカウントが必要ではありません。おかげでシタームCharmartyの貢献。
まだ携帯電話にGoogle Authenticatorをインストールしていない場合は、ここですの説明を参照してください。
まず、Google Authenticationインストールパッケージをサーバにインストールする必要があります。以下のコマンドは、あなたのシステムを更新し、必要なパッケージをインストールします。
apt-get update
apt-get upgrade
apt-get install libpam-google-authenticator
今はあなたの携帯電話でGoogle Authentication APPを使ってサーバーを登録したいです。これはまず私達がインストールしたプログラムを実行することによって完成しました。google-authenticator
このプログラムを実行する時、いくつかの問題を聞きます。あなたはあなたに似合う設定で答えるべきですが、一番安全なオプションは各質問に対してyです。これらのオプションを変更すると、簡単にgoogle-authenticatorを実行して、異なるオプションを選択できます。google-authenticator
を実行すると、一つの二次元コードが端末に印刷されます。一部のコードはこのように見えます。Your new secret key is:VMFY 27 TYDFRDNKFY
Your veriflication code is 259652
Your emmergency scratch codes are:
96915246
70222983
31822707
2581286
2891999
これらのコードはすべてパスワードマネージャのように安全な位置に記録してください。scratch codesは単一の使用コードです。携帯が使えなくても、いつもアクセスが許可されます。
サーバをAuthenticator APPに登録するには、アプリケーションを開いて、右下の赤いプラス記号をクリックすればいいです。スキャンストリップコードオプションを選択して、端末に印刷された二次元コードをスキャンします。あなたのサーバーとアプリケーションは今接続されています。
サーバーに戻ります。SSH用のPAMを編集して、私たちがインストールしたばかりのアイデンティティ検証モジュールを使ってパッケージをインストールする必要があります。PAMは独立したシステムで、Linuxサーバー上の大多数の認証を担当しています。
修正が必要なSSH PAMファイルは
/etc/pam.d/sshd
にあり、以下のコマンドで編集します。nano /etc/pam.d/sshd
ファイルの上に次の行を追加します。auth required pam_google_authenticator.so
また、私達はもう1行の注釈が必要です。このようにPAMはパスワードの入力を提示しません。この行を変更:
# Standard Un*x authentication.
@include common-auth
次のようにする:
# Standard Un*x authentication.
# @include common-auth
```
次に、SSHサーバの設定ファイルを編集したいです。nano /etc/ssh/sshd_config “`
この行を変更:ChallengeResponseAuthentication no
はい、ChallengeResponseAuthentication yes
次に、次のコード行を追加して、2つの認証方式を有効にします。SSH鍵とGoogle認証器(キーボードインタラクション):Authentication Methods「publickey,keyboard-interactive」
SSHサーバを再読み込みする前に、設定に何のエラーがないか確認したほうがいいです。以下のコマンドを実行します。
sshd -t
もし何かのエラーが表示されていない場合、SSHを新しい構成で再ロードする。systemctl reload sshd.service
今はすべて仕事を始めるべきです。今、あなたがサーバにログインすると、SSH鍵を使う必要があります。Veriflicationコード:
Authenticatitor APPを開き、サーバに表示される6桁のコードを入力します。
Authy
Authyは二重認証サービスであり、Googleと同様に時間ベースのコードを提供しています。しかし、Authyはデスクトップとタブレットクライアントを提供するために携帯電話を必要としない。これらはオフラインID検証もサポートしています。Googleアカウントは必要ありません。
アプリケーションストアからAuthyアプリケーションをインストールするか、またはAuthyからページにリンクされたデスクトップクライアントをダウンロードする必要があります。
アプリケーションをインストールした後、サーバーでAPI鍵を使用する必要があります。このプロセスにはいくつかのステップが必要です。
ある安全なところにAPI鍵を記録します。
現在、サーバに戻り、rootとして以下のコマンドを実行します。
curl -O 'https://raw.githubusercontent.com/authy/authy-ssh/master/authy-ssh'
bash authy-ssh install /usr/local/bin
ヒントがある場合は、APIキーを入力します。入力が間違っていたらいつでも編集できます。/usr/local/bin/authy-sshを追加してください。Authyは既にインストールされています。しかし、ユーザーにそれを有効にする前には、作業を開始しません。Authyを有効にするコマンドは、以下の形式があります。
/usr/local/bin/authy-ssh enable <system-user> <your-email> <your-phone-country-code> <your-phone-number>
ロト登録のいくつかの例の詳細:
/usr/local/bin/authy-ssh enable root [email protected] 44 20822536476
すべてがうまくいけば、見られます。User was registered
Authyは以下のコマンドを実行してテストできます。authy-ssh test
最後に、SSHを再負荷して新しい構成を実現する。systemctl reload sshd.service
Authyは現在作業中ですが、SSHはログインが必要です。今、ログインすると、以下のヒントが見えます。
Authy Token(type'sms'to request a SMS token):
携帯電話やデスクトップクライアントのAuthyアプリのコードを入力できます。あるいはSMSを入力してもいいです。Authyはログインコード付きメールを送ります。
以下のコマンドを実行することでAuthyをアンマウントできます。
/usr/local/bin/authy-ssh uninstall
締め括りをつける以上述べたように、UbuntuとDebianにダブルファクターの認証を有効にするための3つの代替案を紹介しました。皆さんのために役に立つことを望んでいます。もし何か質問があれば、メッセージをください。編集者はすぐに返事します。ここでも私たちのサイトを応援してくれてありがとうございます。