SSH adalah "Secure Shell Protocol" yang digunakan untuk menghubungkan dan mengelola sistem Linux jarak jauh dengan aman melalui jaringan yang tidak aman. Sangat berguna bagi administrator sistem untuk melakukan tugas sehari-hari di server jauh. Jadi mengamankan server SSH adalah bagian penting dari setiap administrator sistem.
Secara default, Anda dapat terhubung ke SSH dengan kata sandi atau menggunakan kunci pribadi. Itu berarti, itu hanya otentikasi faktor tunggal. Jadi ada baiknya untuk menerapkan otentikasi multi-faktor di server SSH untuk menambahkan lapisan keamanan ekstra. Dalam otentikasi multi-faktor, Anda harus memberikan kata sandi pengguna sistem Anda dan kata sandi lain yang dibuat di perangkat seluler. Ini akan meningkatkan keamanan server Anda secara signifikan.
Dalam tutorial ini, kami akan menunjukkan cara mengatur otentikasi multi-faktor untuk SSH di Ubuntu 20.04 VPS.
Prasyarat
- VPS Ubuntu 20.04 (kami akan menggunakan paket SSD 2 VPS kami)
- Akses ke akun pengguna root (atau akses ke akun admin dengan hak akses root)
Langkah 1:Masuk ke Server &Perbarui Paket OS Server
Pertama, masuk ke server Ubuntu 20.04 Anda melalui SSH sebagai pengguna root:
ssh root@IP_Address -p Port_number
Anda harus mengganti 'IP_Address' dan 'Port_number' dengan alamat IP dan nomor port SSH masing-masing server Anda. Selain itu, ganti 'root' dengan nama pengguna akun admin jika perlu.
Sebelum memulai, Anda harus memastikan bahwa semua paket OS Ubuntu yang diinstal di server sudah diperbarui. Anda dapat melakukannya dengan menjalankan perintah berikut:
apt-get update -y apt-get upgrade -y
Langkah 2:Instal Google Authenticator
Kami akan menggunakan Google Authenticator untuk otentikasi multi-faktor. Jadi, Anda perlu menginstal modul PAM Google Authenticator ke sistem Anda. Anda dapat menginstalnya dengan menjalankan perintah berikut:
apt-get install libpam-google-authenticator -y
Setelah paket diinstal, jalankan Google Authenticator menggunakan perintah berikut:
google-authenticator
Selama instalasi, Anda akan ditanya pertanyaan berikut:
Do you want authentication tokens to be time-based (y/n) y Warning: pasting the following URL into your browser exposes the OTP secret to Google: https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@ubuntu2004%3Fsecret%3D4XXQ2QA6FRV72SDM2JWSZTQJE4%26issuer%3D
Tekan y dan tekan Enter untuk melanjutkan. Anda akan melihat kode QR di layar berikut:
Jawab semua pertanyaan dan tekan Enter untuk menyelesaikan proses seperti yang ditunjukkan di bawah ini:
Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) y By default, a new token is generated every 30 seconds by the mobile app. In order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. This allows for a time skew of up to 30 seconds between authentication server and client. If you experience problems with poor time synchronization, you can increase the window from its default size of 3 permitted codes (one previous code, the current code, the next code) to 17 permitted codes (the 8 previous codes, the current code, and the 8 next codes). This will permit for a time skew of up to 4 minutes between client and server. Do you want to do so? (y/n) y If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting? (y/n) If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting? (y/n) y
Langkah 3:Instal Aplikasi Google Authenticator
Selanjutnya, Anda perlu menginstal aplikasi Google Authenticator di ponsel cerdas Anda. Setelah terinstal, buka Google Authenticator di ponsel Anda dan pindai kode QR di atas. Setelah kode QR dipindai, Anda akan melihat enam digit sandi satu kali di ponsel Anda seperti yang ditunjukkan di bawah ini:
Kata sandi ini akan kedaluwarsa dalam waktu 30 detik, Jadi Anda harus membuka Aplikasi Google Authenticator dan melihat kata sandi baru untuk masuk ke server Ubuntu melalui SSH.
Anda juga dapat melihat kunci rahasia, kode verifikasi, dan kode gores darurat pada output di atas. Disarankan untuk menyimpannya di tempat yang aman untuk digunakan nanti.
Your new secret key is: 4XXQ2QA6FRV72SDM2JWSZTQJE4 Your verification code is 423832 Your emergency scratch codes are: 96469497 84504151 61871048 79931657 71052210
Langkah 4:Konfigurasikan SSH untuk Menggunakan Google Authenticator
Selanjutnya, Anda juga perlu mengonfigurasi SSH untuk menggunakan Google Authenticator. Anda dapat mengkonfigurasinya dengan mengedit file /etc/ssh/sshd_config:
nano /etc/ssh/sshd_config
Ubah baris berikut:
UsePAM yes ChallengeResponseAuthentication yes
Simpan dan tutup file setelah Anda selesai. Kemudian, restart layanan SSH untuk menerapkan konfigurasi:
systemctl restart sshd
Selanjutnya, Anda perlu mengedit file /etc/pam.d/sshd dan menentukan aturan PAM untuk layanan SSH:
nano /etc/pam.d/sshd
Tambahkan baris berikut setelah @include common-auth :
auth required pam_google_authenticator.so
Simpan dan tutup file.
Langkah:5 Uji Otentikasi Dua Faktor
Pada titik ini, server SSH Anda sekarang dikonfigurasi dengan otentikasi multi-faktor. Saatnya menghubungkan dan mengujinya.
Pada sistem jarak jauh, buka terminal Anda dan login ke server Anda melalui SSH seperti yang ditunjukkan di bawah ini:
ssh root@ssh-server-ip
Anda akan diminta untuk memberikan kata sandi sistem dan kode verifikasi yang dihasilkan oleh Google Authenticator. Berikan sandi sistem Anda yang ditampilkan di Aplikasi Google Authenticator dan tekan Enter untuk login ke server seperti gambar di bawah ini:
Selamat! server SSH Anda sekarang diamankan dengan otentikasi multi-faktor..
Tentu saja, Anda tidak perlu mengatur otentikasi multi-faktor untuk SSH di Ubuntu VPS jika Anda menggunakan salah satu layanan Hosting Terkelola kami, dalam hal ini Anda dapat meminta admin Linux ahli kami untuk mengatur otentikasi multi-faktor untuk SSH di Ubuntu, untuk Anda. Mereka tersedia 24×7 dan akan segera memenuhi permintaan Anda.
PS. Jika Anda menyukai posting ini tentang cara mengatur otentikasi multi-faktor untuk SSH di Ubuntu, silakan bagikan dengan teman-teman Anda di jejaring sosial menggunakan tombol di sebelah kiri atau cukup tinggalkan balasan di bawah. Terima kasih.