Aplikácia Google Authenticator neposkytuje službu Google doma - všetka práca sa deje na vašom SSH serveri a telefóne. V skutočnosti je aplikácia Google Authenticator úplne open-source, takže si dokonca môžete prezrieť zdrojový kód sami.
Nainštalujte službu Google Authenticator
Ak chcete implementovať overovanie s viacerými faktormi pomocou aplikácie Google Authenticator, budeme potrebovať modul open-source Google Authenticator PAM. PAM znamená "pluggable autentifikačný modul" - je to spôsob, ako ľahko pripojiť rôzne formy autentifikácie do systému Linux.
Softvérové úložiská Ubuntu obsahujú jednoducho inštalovateľný balík pre modul PAM Google Authenticator. Ak vaša distribúcia Linuxu neobsahuje balík, musíte si ju prevziať zo stránky Google Authenticator na prevzatie v službe Google Code a zostaviť ju sami.
Ak chcete balík nainštalovať na Ubuntu, spustite nasledujúci príkaz:
sudo apt-get install libpam-google-authenticator
(Tým sa nainštaluje modul PAM iba v našom systéme - budeme ho musieť aktivovať pri prihlasovaní SSH manuálne.)
Vytvorte overovací kľúč
Prihláste sa ako používateľ, ktorý sa prihlasujete na diaľku a spustite ho google-authenticator Príkaz vytvoriť tajný kľúč pre daného používateľa.
Povolenie príkazu aktualizovať súbor aplikácie Google Authenticator zadaním y. Potom budete vyzvaní na niekoľko otázok, ktoré vám umožnia obmedziť používanie rovnakého dočasného bezpečnostného tokenu, zvýšiť časové okno, na ktoré sa môžu používať žetóny, a obmedziť povolené pokusy o prístup, ktoré bránia pokusom o prasknutie hrubou silou. Tieto voľby všetky obchodujú s určitou bezpečnosťou, pretože sú ľahko použiteľné.
Aktivujte službu Google Authenticator
Ďalej budete musieť vyžadovať službu Google Authenticator na prihlásenie do služby SSH. Ak to chcete urobiť, otvorte /etc/pam.d/sshd súbor na vašom systéme (napr sudo nano /etc/pam.d/sshd príkaz) a do súboru pridajte nasledujúci riadok:
auth required pam_google_authenticator.so
Ďalej otvorte súbor / Etc / ssh / sshd_config súbor, nájdite súbor challenge-response line a zmeňte ho takto:
ChallengeResponseAuthentication yes
(Ak challenge-response riadok ešte neexistuje, pridajte do súboru vyššie uvedený riadok.)
Nakoniec reštartujte server SSH, aby sa vaše zmeny prejavili:
sudo service ssh restart