Безопасность рабочего стола Linux и защита ssh с помощью двухфакторной Google аутентификации

Двух  факторная аутентификация становится все более настоятельно рекомендованным способом защиты учетных записей пользователей в веб-приложениях от атак, требуя второй способ аутентификации в дополнение к стандартному имени пользователя и пароля.

Хотя двухфакторная аутентификация может охватывать широкий спектр методов, как биометрия или смарт-карт, наиболее часто встречающийся в веб-приложениях является защита одноразовый паролем. Если вы использовали приложения, такие как Gmail, вы, вероятно, знакомы с одноразовым паролем,  созданным Google Authenticator, которые используется для IOS или устройств Android.

Алгоритм, используемый для одноразового пароля в приложении Google Authenticator известен как Time-based One-Time Password (TOTP) алгоритм. Алгоритм TOTP является стандартный алгоритм утвержденный IETF в (RFC 6238) TOTP-RFC.

Первоначально

Вам необходимо скачать приложение Google Authenticator, которое генерирует 2-ступенчатые коды проверки на телефон или на рабочий стол.  Установите приложение Google Authenticator , прежде чем устанавливать что либо еще, на вашем Android устройстве / устройств iPhone / IPad / BlackBerry / Firefox.

Установка Google Authenticator на Fedora Linux

Это малоизвестный факт, что вы можете использовать алгоритм TOTP для обеспечения безопасности учетных записей пользователей в системах Linux. В этой статье мы расскажем всех необходимые шаги.. Хотя команды будут  написаны для Fedora, алгоритм TOTP может быть развернут на любом дистрибутиве с незначительными изменениями.

TOTP можно настроить на Linux системах с простым PAM, который выпустил Google.Установка его на Fedora проста. Просто выполните следующую комманду:

Настройка Google Authenticator на Fedora Linux

Далее, выполните следующую команду под пользователем которому нужно включить двух факторную аутентификацию:

Вам будет предложено несколько вариантов конфигурации. Сканирование QRcode, который появился в приложении Google Authenticator:

Сохранить указанные резервные коды в надежном месте. Они позволят вам получить доступ, если вы потеряете свой телефон с Authenticator:

Если вы не знаете, что отвечать на вопросы, жмите «Y».

 

Наконец, добавьте следующую строку в /etc/pam.d/gdm-password файл:

Сохраните и закройте файл. При следующем входе, вы должны увидеть ввод проверочного кода:

Введите один раз пароль сгенерированный приложением Google Authenticator, и вы успешно войдете:

Как я могу получить Google Authenticator tokens?

Вы можете скачать приложение по следующему адресу в соответствии с вашим устройством / браузером, чтобы использовать Google Authenticator tokens:

1. Google Authenticator Apple iOS app (https://itunes.apple.com/en/app/google-authenticator/id388497605?mt=8) — чтобы обеспечить дополнительный уровень безопасности при аутентификации используйте двух факторную аутентификацию Google.
2. Google Authenticator Android App (https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en) — генерирует 2-ступенчатые коды проверки на вашем телефоне.
3. Google Authenticator Firefox приложение (https://marketplace.firefox.com/app/gauth-authenticator/) — Формирует TOTP когда многофакторной аутентификации с помощью Firefox.
4. Смотрите список всех приложений Google Authenticator (https://support.google.com/accounts/answer/1066447?hl=en)

 Защитите свой OpenSSH, используя двухступенчатую аутентификацию на Fedora / RHEL / CentOS Linux

Такой способ может быть применено к SSH входу в систему. Хотя отключение вход с паролем для SSH и ограничение входа по ключам SSH тоже хорошая идея. В случаях, когда нельзя применить предыдущие методы,  добавление двух факторную аутентификацию может быть хорошим компромиссом. Добавление TOTP к SSH также легко и просто.

Предполагается, что вы уже выполнили предыдущие шаги конфигурации.

Сначала добавьте следующую строку в /etc/pam.d/sshd:

Далее, убедитесь, что /etc/ssh/sshd_config содержит следующую строку:

Сохраните и закройте файл. Перезапустите службу SSHd:

При следующем входе по ssh вам понадобится ввести верификационный код в дополнение к обычному паролю.

Если вам необходимо выполнить настройку сервера, вы можете обратиться к нам за помощью.