Google प्रमाणक के दो-फैक्टर प्रमाणीकरण के साथ एसएसएच कैसे सुरक्षित करें

2024 लेखक: Geoffrey Carr | [email protected]. अंतिम बार संशोधित: 2024-01-12 05:31

Google प्रमाणक Google को "घर पर फोन नहीं" करता है - यह सब आपके एसएसएच सर्वर और आपके फोन पर होता है। वास्तव में, Google प्रमाणक पूरी तरह से खुला स्रोत है, इसलिए आप अपने स्रोत कोड की जांच भी कर सकते हैं।

Google प्रमाणक स्थापित करें

Google प्रमाणक के साथ मल्टीफाएक्टर प्रमाणीकरण को लागू करने के लिए, हमें ओपन-सोर्स Google प्रमाणक पीएएम मॉड्यूल की आवश्यकता होगी। पीएएम "प्लग करने योग्य प्रमाणीकरण मॉड्यूल" के लिए खड़ा है - यह एक लिनक्स सिस्टम में प्रमाणीकरण के विभिन्न रूपों को आसानी से प्लग करने का एक तरीका है।

उबंटू के सॉफ्टवेयर रिपॉजिटरीज में Google प्रमाणक पीएएम मॉड्यूल के लिए एक आसान-स्थापित पैकेज शामिल है। यदि आपके लिनक्स वितरण में इसके लिए कोई पैकेज नहीं है, तो आपको इसे Google Code पर Google प्रमाणक डाउनलोड पेज से डाउनलोड करना होगा और इसे स्वयं संकलित करना होगा।

उबंटू पर पैकेज स्थापित करने के लिए, निम्न आदेश चलाएं:

sudo apt-get install libpam-google-authenticator

(यह केवल हमारे सिस्टम पर पीएएम मॉड्यूल स्थापित करेगा - हमें इसे मैन्युअल रूप से एसएसएच लॉग इन के लिए सक्रिय करना होगा।)

एक प्रमाणीकरण कुंजी बनाएँ

उस उपयोगकर्ता के रूप में लॉग इन करें जिसे आप दूरस्थ रूप से लॉग इन करेंगे और चलाएं गूगल-प्रमाणक उस उपयोगकर्ता के लिए एक गुप्त कुंजी बनाने के लिए आदेश।

वाई टाइप करके कमांड को अपनी Google प्रमाणक फ़ाइल को अपडेट करने दें। फिर आपको कई प्रश्नों के साथ संकेत दिया जाएगा जो आपको एक ही अस्थायी सुरक्षा टोकन के उपयोग को प्रतिबंधित करने की अनुमति देगा, उस समय की खिड़की को बढ़ाएगा जिसमें टोकन का उपयोग किया जा सकता है, और ब्रांड्स-बल क्रैकिंग प्रयासों को बाधित करने के लिए अनुमत acces प्रयासों को सीमित करें। ये विकल्प कुछ आसानी से उपयोग के लिए कुछ सुरक्षा का व्यापार करते हैं।

Google प्रमाणक को सक्रिय करें

इसके बाद आपको एसएसएच लॉग इन के लिए Google प्रमाणक की आवश्यकता होगी। ऐसा करने के लिए, खोलें /etc/pam.d/sshd अपने सिस्टम पर फ़ाइल (उदाहरण के लिए, के साथ सुडो नैनो /etc/pam.d/sshd आदेश) और फ़ाइल में निम्न पंक्ति जोड़ें:

auth required pam_google_authenticator.so

अगला, खोलें / Etc / ssh / sshd_config फ़ाइल, का पता लगाएं ChallengeResponseAuthentication रेखा, और इसे निम्नानुसार पढ़ने के लिए बदलें:

ChallengeResponseAuthentication yes

(अगर ChallengeResponseAuthentication लाइन पहले से मौजूद नहीं है, फ़ाइल में उपरोक्त पंक्ति जोड़ें।)

अंत में, एसएसएच सर्वर को पुनरारंभ करें ताकि आपके परिवर्तन प्रभावी हो जाएंगे:

sudo service ssh restart