С появлением Google Authenticator и возможностью использовать его с ssh мне стало интересно, прошел ли кто-нибудь настройку sshd_config, которая бы
Идея состоит в том, чтобы обычно легко соединяться с ключом и, как правило, в менее дружественной среде, соединяться с помощью двухфакторного механизма.
Да, у меня есть настройка, где я могу sshподключиться к своему серверу, используя аутентификацию с открытым ключом, и использовать двухфакторную аутентификацию с помощью Google Authenticator + пароль, когда мой закрытый ключ недоступен. Это шаги, которые вы можете использовать для его настройки.
Мой сервер работает под управлением Ubuntu Bionic Beaver (18.04.1). Вы можете установить Google Authenticator, используя apt:
$ sudo apt install libpam-google-authenticator
Откройте /etc/pam.d/sshdи добавьте следующую строку вверху:
auth optional pam_google_authenticator.so
Откройте /etc/ssh/sshd_configи измените одну строку. Существующая линия
ChallengeResponseAuthentication no
и вы должны изменить его на
ChallengeResponseAuthentication yes
Следующим шагом является включение Google Authenticator для вашей учетной записи. Вы делаете это, просто запустив:
$ google-authenticator
Убедитесь, что вы запускаете это как пользователь, который будет устанавливать ssh-соединения, а не как root. Запишите ваш новый секретный ключ и аварийные коды. Мастер задаст вам несколько вопросов для настройки параметров безопасности вашей учетной записи.
Я использую приложение Google Authenticator для iPhone. В этом приложении есть кнопка [+], которая позволяет мне добавлять новый токен на основе времени, используя секретный ключ, полученный из google-authenticatorкоманды на моем сервере. Это было тривиально настроить. Я не могу помочь вам с приложениями на любой другой платформе, но я думаю, что процесс такой же простой.
Последнее, что вам нужно сделать, это перезагрузить sshd.
$ sudo /etc/init.d/ssh restart
На этом этапе, когда вы пытаетесь подключиться к серверу, когда ваш закрытый ключ доступен, аутентификация просто работает. Когда ваш закрытый ключ недоступен, вы получите запрос на ввод кода подтверждения, затем пароль вашей учетной записи.