Dalam tutorial ini, kami akan menunjukkan kepada Anda cara mengamankan SSH menggunakan otentikasi dua faktor di Ubuntu 16.04 LTS. Bagi Anda yang belum tahu, Mengamankan SSH dengan otentikasi dua faktor menggunakan Google Authenticator Verifikasi dua langkah (juga dikenal sebagai otentikasi dua faktor, disingkat TFA) adalah proses yang melibatkan dua tahap untuk memverifikasi identitas entitas yang mencoba mengakses layanan di komputer atau jaringan. Ini adalah kasus khusus dari otentikasi multi-faktor yang mungkin hanya melibatkan satu dari tiga faktor otentikasi (faktor pengetahuan, faktor kepemilikan, dan faktor warisan) untuk kedua langkah.
Artikel ini mengasumsikan Anda memiliki setidaknya pengetahuan dasar tentang Linux, tahu cara menggunakan shell, dan yang terpenting, Anda meng-host situs Anda di VPS Anda sendiri. Instalasi cukup sederhana dan mengasumsikan Anda sedang berjalan di akun root, jika tidak, Anda mungkin perlu menambahkan 'sudo ' ke perintah untuk mendapatkan hak akses root. Saya akan menunjukkan kepada Anda SSH aman langkah demi langkah menggunakan otentikasi dua faktor di server Ubuntu 16.04 (Xenial Xerus).
Prasyarat
- Server yang menjalankan salah satu sistem operasi berikut:Ubuntu 16.04, dan distribusi berbasis Debian lainnya seperti Linux Mint.
- Sebaiknya Anda menggunakan penginstalan OS baru untuk mencegah potensi masalah.
- Akses SSH ke server (atau cukup buka Terminal jika Anda menggunakan desktop).
- Seorang
non-root sudo useratau akses keroot user. Kami merekomendasikan untuk bertindak sebagainon-root sudo user, namun, karena Anda dapat membahayakan sistem jika tidak berhati-hati saat bertindak sebagai root.
SSH Aman Menggunakan Otentikasi Dua Faktor di Ubuntu 16.04 LTS
Langkah 1. Pertama, pastikan semua paket sistem Anda mutakhir dengan menjalankan apt-get berikut perintah di terminal.
sudo apt-get update sudo apt-get upgrade
Langkah 2. Memasang Google Authenticator.
Untuk menginstal paket di Ubuntu, jalankan perintah berikut:
apt-get install libpam-google-authenticator
Langkah selanjutnya adalah mendapatkan kode verifikasi. Ini adalah perintah yang sangat sederhana untuk mendapatkan kode verifikasi dan kode awal hanya dengan menjawab pertanyaan sederhana dari server yang akan dia tanyakan Anda dapat melakukan langkah tersebut dengan menjalankan perintah berikut:
google-authenticator
Anda akan diminta untuk menjawab beberapa pertanyaan; jawab dua pertanyaan pertama dengan ya (y):
Do you want authentication tokens to be time-based (y/n) y
Kode QR besar akan dibuat di terminal Anda. Anda dapat memindai kode dengan aplikasi autentikator di ponsel atau tablet Android/iOS/Windows atau memasukkan rahasia kunci yang dihasilkan di layar.
Kode awal darurat juga akan dibuat. Anda dapat menggunakan kode ini untuk autentikasi jika perangkat seluler Anda hilang:
Your emergency scratch codes are: 80461001 68335920 89765548 12485672 11145603
Simpan pengaturan otentikasi untuk pengguna root dengan menjawab YA untuk pertanyaan berikutnya:
Do you want me to update your "/root/.google_authenticator" file (y/n) y
Selanjutnya, Anda dapat mengonfigurasi autentikator untuk menghasilkan kata sandi satu kali. Selama 30 detik terakhir, semua kata sandi yang dibuat dapat digunakan sekali. Jawab y untuk membuat file yang menyimpan setelan ini:
Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) y
Anda dapat menggunakan setelan berikutnya jika Anda memiliki waktu untuk menyinkronkan masalah di seluruh perangkat Anda, jadi kami tidak akan menggunakan opsi ini:
By default, tokens are good for 30 seconds and in order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. If you experience problems with poor time synchronization, you can increase the window from its default size of 1:30min to about 4min. Do you want to do so (y/n) n
Setelan berikutnya mencegah serangan brute force. Anda hanya memiliki tiga kesempatan per 30 detik untuk memasukkan sandi yang benar:
If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting (y/n) y
Selamat! Anda telah selesai membuat kunci dan menambahkannya ke klien Anda, namun beberapa konfigurasi tambahan diperlukan sebelum setelan ini berlaku.
Langkah selanjutnya adalah mengkonfigurasi pengaturan otentikasi di openSSH. Untuk melakukannya, buka “/etc/pam.d/sshd ” dan tambahkan baris berikut di akhir file:
### nano /etc/pam.d/sshd auth required pam_google_authenticator.so
Simpan perubahan, buka “/etc/ssh/sshd_config ” dan aktifkan Otentikasi Tantangan-Respons:
### nano /etc/ssh/sshd_config ChallengeResponseAuthentication yes
Terakhir, simpan file dan mulai ulang server SSH agar perubahan diterapkan:
systemctl restart ssh
Selamat! Anda telah berhasil mengamankan SSH. Terima kasih telah menggunakan tutorial ini untuk mengamankan SSH menggunakan autentikasi dua faktor pada sistem Ubuntu 16.04 LTS (Xenial Xerus). Untuk bantuan tambahan atau informasi berguna, kami sarankan Anda untuk memeriksa situs web SSH resmi.