Como habilitar dois fatores para logins SSH

Atualizado em maio 2024: Pare de receber mensagens de erro e deixe seu sistema mais lento com nossa ferramenta de otimização. Adquira agora em este link

1. Baixe e instale a ferramenta de reparo aqui.
2. Deixe-o escanear seu computador.
3. A ferramenta irá então consertar seu computador.

Quando os usuários acessam seu VPS não gerenciado, nuvem VPS ou servidor dedicado Flex via SSH, eles inserem um nome de usuário e uma senha para fazer login por padrão.

A autenticação de dois fatores fornece um nível adicional de segurança, exigindo que os usuários forneçam informações adicionais, além de saber o nome de usuário e a senha corretos. Essas informações são uma senha digital temporária gerada de forma independente no servidor e em um dispositivo móvel, como um smartphone ou tablet.

Portanto, para que um invasor em potencial acesse seu servidor, ele teria que obter não apenas algo que você conhece (seu nome de usuário e senha), mas também algo que você possui (seu dispositivo móvel). Essa abordagem de dois fatores para efetuar login aumenta muito a segurança do servidor e torna os ataques de força bruta muito mais difíceis.

Como habilitar dois fatores para SSH

Para processar solicitações de dois fatores, usamos o Plug-in Authentication Module (PAM) do Google, que funciona com Authy e Google Authenticator. Instale-o por meio do gerenciador de pacotes de sua distribuição:

sudo apt-get install libpam-google-authenticator

Em seguida, execute este comando de inicialização:

autenticador do google

Responda sim à primeira pergunta se os tokens de autenticação devem ser baseados em tempo. Isso é mais seguro. Seu terminal será inundado com um código QR gigante e você provavelmente terá que diminuir um pouco o zoom.

Abra seu aplicativo de autenticação e escaneie seu código (não a captura de tela). Seu aplicativo deve sincronizar e começar a gerar códigos de seis dígitos que mudam a cada 30 segundos.

Você também deve observar todas as saídas adicionais, incluindo a chave secreta e os códigos de rascunho de emergência. Eles são usados ​​para recuperar o acesso ao seu servidor se você for bloqueado por qualquer motivo. No entanto, você deve ser avisado que se encontrar problemas devido a uma configuração incorreta, você sempre poderá ser banido permanentemente. Antes de tornar o teste obrigatório, temos a possibilidade de ativar dois fatores.

Para as próximas perguntas, responda às seguintes perguntas:

• Responda “Sim” à pergunta sobre como atualizar sua configuração, caso contrário, nada funcionará.
• Responda “Sim” à pergunta se o uso múltiplo de tokens diferentes não é permitido. Eles devem expirar assim que forem usados.
• Responda negativamente à pergunta sobre estender a janela de código válida, porque isso não faz sentido.
• Responda “sim” para permitir um limite de taxa que exclui invasores após três tentativas. Seus três últimos códigos são válidos por um minuto e meio, então você não precisa se preocupar em se bloquear agindo muito lentamente.

Toda a sua configuração é armazenada em ~ / .google-authenticator. Você pode copiar este arquivo para um servidor adicional para aplicar a mesma configuração; não execute a ferramenta de inicialização novamente, ou você terá que conectar dois dispositivos separados.

Configurando OpenSSH

Como faremos alterações de SSH para SSH, é importante nunca encerrar sua conexão SSH inicial. Em vez disso, abra uma segunda sessão SSH para teste. Dessa forma, você evitará se travar no servidor se ocorrer um erro na configuração do SSH. Depois que tudo estiver funcionando, você pode fechar todas as sessões com segurança.

Para começar, abra o arquivo de configuração sshd para editá-lo com o nano ou seu editor de texto favorito.

sudo nano /etc/pam.d/sshd

Adicione a seguinte linha no final do arquivo.

autenticação necessária pam_google_authenticator.so nullok

A palavra Nullok no final da última linha indica ao MAP que este método de autenticação é opcional. Isso permite que usuários sem um token OATH-TOTP façam login de qualquer maneira com sua chave SSH. Assim que todos os usuários tiverem um token OATH-TOTP, você pode remover a palavra nullok desta linha para tornar o AMF obrigatório.

Salve e feche o arquivo.

A seguir, configuraremos o SSH para oferecer suporte a esse tipo de autenticação. Abra o arquivo de configuração SSH para editá-lo.

sudo nano / etc / ssh / sshd_config

Encontre ChallengeResponseAuthentication e defina o valor como sim.

Challenge / ResponseAuthentication sim

Salve e feche o arquivo e reinicie o SSH para recarregar os arquivos de configuração. Reiniciar o serviço sshd não fechará nenhuma conexão aberta, então você não ficará preso a este comando.

sudo systemctl reinicie sshd.service

Para testar se tudo funciona até agora, abra outro terminal e tente se conectar via SSH. Se você já criou uma chave SSH e a está usando, notará que não foi necessário inserir sua senha de usuário ou o código de verificação AMF. Na verdade, uma chave SSH substitui todas as outras opções de autenticação por padrão. Caso contrário, você deve ter recebido uma mensagem convidando-o a inserir sua senha e código de verificação.

Então, para permitir que uma chave SSH seja um fator e o código de verificação seja um segundo fator, precisamos informar ao SSH quais fatores usar e evitar que a chave SSH substitua todos os outros tipos.

https://ubuntu.com/tutorials/configure-ssh-2fa#1-overview

Dica do especialista: Esta ferramenta de reparo verifica os repositórios e substitui arquivos corrompidos ou ausentes se nenhum desses métodos funcionar. Funciona bem na maioria dos casos em que o problema é devido à corrupção do sistema. Essa ferramenta também otimizará seu sistema para maximizar o desempenho. Pode ser baixado por Clicando aqui