Dalam tutorial ini, kami akan menjelaskan langkah-langkah yang diperlukan untuk mengonfigurasi otentikasi dua faktor (2FA) menggunakan Google authenticator pada VPS Ubuntu 16.04. Aplikasi ini mencakup implementasi generator kode sandi satu kali untuk beberapa platform seluler. Metode ini menambahkan lapisan perlindungan lain ke server Anda dengan menambahkan langkah ekstra ke prosedur login dasar.
1. Masuk melalui SSH
Login ke server Anda melalui SSH sebagai root pengguna
ssh root@IP_Address
2. Perbarui Paket Sistem
Perbarui semua paket yang diinstal:
apt-get update && apt-get upgrade
3. Instal Google Authenticator
Pasang Google Authenticator paket.
apt-get install libpam-google-authenticator
Setelah paket diinstal, jalankan program google-authenticator untuk membuat kunci bagi pengguna yang akan Anda gunakan untuk masuk. Program ini dapat menghasilkan dua jenis token autentikasi – berbasis waktu dan token satu kali . Kata sandi berbasis waktu akan berubah secara acak dalam jangka waktu tertentu, dan kata sandi satu kali berlaku untuk satu autentikasi.
4. Jalankan Google Authenticator
Dalam kasus kami, kami akan menggunakan kata sandi berbasis waktu. Jalankan program untuk membuat kunci
google-authenticator
Anda akan ditanya apakah Anda ingin otentikasi berbasis waktu.
Do you want authentication tokens to be time-based (y/n) y
Kode QR besar akan dibuat di terminal Anda. Anda dapat memindai kode dengan aplikasi autentikator di ponsel atau tablet Android/iOS/Windows atau memasukkan kunci rahasia yang dibuat di layar.
Kode awal darurat juga akan dibuat. Anda dapat menggunakan kode ini untuk autentikasi jika perangkat seluler Anda hilang.
Your emergency scratch codes are: 80463533 68335920 89221348 12489672 11144603
Simpan pengaturan otentikasi untuk pengguna root dengan menjawab YA untuk pertanyaan berikutnya
Do you want me to update your "/root/.google_authenticator" file (y/n) y
5. Konfigurasikan Authenticator untuk Membuat Kata Sandi Sekali Pakai.
Selanjutnya, Anda dapat mengonfigurasi autentikator untuk menghasilkan kata sandi satu kali. Karena bertahan selama 30 detik, semua sandi yang dibuat dapat digunakan satu kali.
Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) y
Anda dapat menggunakan pengaturan berikutnya jika Anda memiliki masalah sinkronisasi waktu di seluruh perangkat Anda, jadi kami tidak akan menggunakan opsi ini
By default, tokens are good for 30 seconds and in order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. If you experience problems with poor time synchronization, you can increase the window from its default size of 1:30min to about 4min. Do you want to do so (y/n) n
Pengaturan selanjutnya mencegah serangan brute force. Anda hanya memiliki tiga kesempatan per 30 detik untuk memasukkan kata sandi yang benar.
If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting (y/n) y
Sekarang kita telah mengonfigurasi aplikasi Google Authenticator dan langkah selanjutnya adalah mengonfigurasi pengaturan otentikasi di openSSH. Untuk melakukannya, buka file “/etc/pam.d/sshd” dan tambahkan baris berikut di akhir file:
# vim /etc/pam.d/sshd auth required pam_google_authenticator.so
Simpan perubahan, dan buka file “/etc/ssh/sshd_config” dan aktifkan Challenge Response Authentication.
# vim /etc/ssh/sshd_config ChallengeResponseAuthentication yes
6. Mulai ulang Server SSH
Simpan file, dan mulai ulang server SSH agar perubahan diterapkan.
systemctl restart ssh
Jika Anda mengikuti tutorial ini dengan cermat, otentikasi dua faktor diaktifkan di server Anda dan setiap kali Anda mencoba masuk ke VPS Ubuntu Anda melalui SSH, Anda harus memasukkan kata sandi pengguna Anda dan kode verifikasi yang dihasilkan oleh aplikasi Google Authentication di perangkat seluler Anda .
Tentu saja, Anda tidak perlu mengamankan SSH menggunakan otentikasi dua faktor di Ubuntu 16.04, jika Anda menggunakan salah satu layanan Hosting VPS Linux kami, dalam hal ini Anda dapat meminta admin Linux ahli kami untuk mengamankan SSH menggunakan otentikasi dua faktor di Ubuntu 16.04. Mereka tersedia 24×7 dan akan segera memenuhi permintaan Anda.
PS. Jika Anda menyukai postingan ini tentang cara mengamankan SSH menggunakan autentikasi dua faktor di Ubuntu 16.04, silakan bagikan dengan teman Anda di jejaring sosial menggunakan tombol di bawah ini atau tinggalkan balasan di bagian komentar. Terima kasih.
Versi baru tersedia di sini:Mengatur Otentikasi Multi-Faktor untuk SSH di Ubuntu 20.04.