Ada beberapa hal yang dapat Anda lakukan untuk mengamankan dan melindungi SSH Anda. Salah satunya adalah dengan menggunakan Google Authenticator dan membuat autentikasi dua faktor pada VPS CentOS Anda. Google Authenticator memberi Anda lapisan keamanan ekstra dengan membuat kata sandi satu kali (TOTP) berbasis waktu di ponsel cerdas Anda yang harus Anda masukkan bersama nama pengguna dan kata sandi Anda untuk masuk ke server melalui SSH.
Dalam artikel blog hari ini, kami akan menjelaskan cara memasang Google Authenticator dari sumber dan mengonfigurasi SSH untuk autentikasi dua faktor.
Pertama-tama perbarui server virtual CentOS Anda
yum -y update
Selanjutnya, instal 'pam-devel ' paket yang memungkinkan Anda untuk mengatur kebijakan otentikasi tanpa harus mengkompilasi ulang program yang menangani otentikasi.
yum -y install pam-devel
Pastikan ntpd terinstal dan berjalan karena token keamanan TOTP peka terhadap waktu
yum -y install ntp /etc/init.d/ntpd start chkconfig ntpd on
Unduh dan buka paket autentikator Google
cd /opt/ wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2 tar -xvzf libpam-google-authenticator-1.0-source.tar.bz2 cd libpam-google-authenticator-1.0
Kompilasi dan instal modul Google authenticator
make make install
Sekarang, jalankan Google authenticator di server Anda dan jawab setiap pertanyaan
google-authenticator Do you want authentication tokens to be time-based (y/n) y https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@YOURHOSTNAME%3Fsecret%3DWYD4YCGEE5N4M3LA Your new secret key is: WYD4YCGEE5N4M3LA Your verification code is 188127 Your emergency scratch codes are: 60086389 28918071 88502143 60873576 90892542 Do you want me to update your "/root/.google_authenticator" file (y/n) y Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) y By default, tokens are good for 30 seconds and in order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. If you experience problems with poor time synchronization, you can increase the window from its default size of 1:30min to about 4min. Do you want to do so (y/n) y If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting (y/n) y
Buka URL yang diberikan setelah menjawab pertanyaan pertama dan pindai kode QR menggunakan aplikasi Google Authenticator di smartphone Anda. Itu saja. Kode verifikasi baru akan dibuat setiap 30 detik.
Sekarang Anda harus mengaktifkan Google authenticator untuk login SSH. Buka file konfigurasi PAM
vi /etc/pam.d/sshd
Dan tambahkan baris berikut di bagian atas
auth required pam_google_authenticator.so
Buka file konfigurasi SSH dan pastikan bahwa ‘ChallengeResponseAuthentication ' baris disetel ke ya
ChallengeResponseAuthentication yes
Simpan perubahan dan mulai ulang layanan SSH:
service sshd restart
Sekarang, setiap kali Anda mencoba SSH ke server Anda, Anda akan diminta untuk memasukkan kode verifikasi yang ditampilkan di aplikasi Google Authenticator Anda.
login as: Verification code: Password:
Tentu saja, jika Anda adalah salah satu pelanggan VPS Hosting Linux kami, Anda tidak perlu melakukan semua ini, cukup tanyakan pada admin kami, duduk dan bersantailah. Admin kami akan segera menyiapkannya untuk Anda. Untuk pembaruan, Anda dapat merujuk ke SSH Aman menggunakan otentikasi dua faktor di Ubuntu 16.04.
PS. Jika Anda menyukai posting ini, silakan bagikan dengan teman-teman Anda di jejaring sosial menggunakan tombol di sebelah kiri atau cukup tinggalkan balasan di bawah. Terima kasih.