Google Autentifikator ne "telefonira kući" Googleu - sav posao se događa na vašem SSH poslužitelju i vašem telefonu. U stvari, Google autentifikator je potpuno otvoren, pa čak možete sami pregledati izvorni kod.
Instalirajte Google autentifikator
Da bismo implementirali višekratnu autentifikaciju pomoću Google Autentifikatora, potreban nam je modul PAM modela za Google autentifikator otvorenog koda. PAM označava "modul za provjeru autentičnosti" - to je način jednostavnog povezivanja različitih oblika provjere autentičnosti u Linux sustav.
Ubuntuovi softverski repozitorija sadrže paket koji je jednostavan za instalaciju za modul Google Authenticator PAM. Ako vaša Linux distribucija ne sadrži paket za to, morat ćete je preuzeti s stranice za preuzimanje Google Autentifikatora na Google Codeu i sastaviti ga sami.
Da biste instalirali paket na Ubuntu, pokrenite sljedeću naredbu:
sudo apt-get install libpam-google-authenticator
(Ovo će samo instalirati PAM modul na našem sustavu - morat ćemo ga aktivirati za SSH prijave ručno.)
Stvorite ključ za provjeru autentičnosti
Prijavite se kao korisnik s kojim ćete se prijaviti na daljinu i pokrenuti Google-autentikator naredbu za stvaranje tajnog ključa za tog korisnika.
Dopustite naredbi za ažuriranje datoteke Google autentifikatora upisivanjem y. Nakon toga će biti zatraženo nekoliko pitanja koja će vam omogućiti ograničavanje upotrebe istog privremenog sigurnosnog token, povećanje vremenskog prozora koji se može upotrebljavati za tokene i ograničavanje dopuštenih pokušaja pristupa zaustavljanju pokušaja puknuća s velikim silama. Ti su izbori svima sigurni za neku lakoću korištenja.
Aktivirajte Google Autentifikator
Zatim ćete morati zahtijevati Google autentifikatora za SSH prijave. Da biste to učinili, otvorite /etc/pam.d/sshd datoteku na vašem sustavu (na primjer, pomoću sudo nano /etc/pam.d/sshd naredba) i dodajte sljedeći redak u datoteku:
auth required pam_google_authenticator.so
Zatim otvorite / Etc / ssh / sshd_config pronađite datoteku ChallengeResponseAuthentication line i promijenite ga kako biste pročitali sljedeće:
ChallengeResponseAuthentication yes
(Ako je ChallengeResponseAuthentication linija već ne postoji, dodajte gornji redak u datoteku.)
Konačno, ponovo pokrenite SSH poslužitelj kako bi vaše izmjene stupile na snagu:
sudo service ssh restart