Slik konfigurerer du tofaktorautentisering på CentOS 7

Slik konfigurerer du tofaktorautentisering på CentOS Hver administrator bør vurdere å aktivere tofaktorautentisering på CentOS 7-serveren for et ekstra lag med sikkerhet.

Du har valgt å bruke CentOS 7 i datasenteret eller til og med på stedet. Med den oppe og går jevnt, ønsker du selvfølgelig å sikre at den er låst fast. Det siste du trenger er at serveren får inntrenging eller tap av data. En ting du kan gjøre for å redusere sannsynligheten for at CentOS-serveren blir hacket dramatisk, er å konfigurere tofaktorautentisering (2FA).

Jeg har allerede dekket hvordan dette gjøres på Ubuntu, men installasjonsprosessen for CentOS er litt annerledes. La oss komme i gang.

Hva du trenger: Det er klart at du trenger CentOS 7 i gang. Du trenger også en brukerkonto med sudo-rettigheter som kan logge på serveren via ssh. Du trenger også en autentiseringsapp (for eksempel Authy eller Google Authenticator). Og det er alt du trenger.

Installasjon

Det er her prosessen varierer litt fra Ubuntu. Med CentOS 7 må du først installere et depot før du kan installere nødvendig verktøy. Det aktuelle depotet er epel og kan installeres med følgende kommando:

 sudo yum installer https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm 

Når depotet er installert, kan du deretter installere google-authenticator med kommandoen:

 sudo yum installer google-authenticator 

Når programvaren er installert, er du klar til å fortsette.

Ved hjelp av google-authenticator

Google-authenticator-kommandoen må kjøres av alle brukere som skal logge seg på, via ssh. Som standard bruker, gi kommandoen:

 google-autentifikatoren 

Du blir først spurt: Vil du at godkjenningstokener skal være tidsbaserte (y / n) y. Svar ja på det, så får du en QR-kode. Skann den koden med enten Authy eller Google Authenticator-appen, slik at du kan legge den kontoen til tofaktors autentiseringsappen på mobilenheten din. Du vil også kopiere og lagre nødkodene du blir presentert.

Med det ute av veien, svar med standardinnstillingen på følgende spørsmål:

  • Vil du at jeg skal oppdatere filen "~ / .google_authenticator"? (y / n) y
  • Ønsker du å ikke tillate flere bruksområder av det samme godkjenningstokenet? Dette begrenser deg til én pålogging omtrent hvert 30. år, men det øker sjansene dine for å legge merke til eller til og med forhindre angrep på midten (y / n) y
  • Som standard er tokens gode i 30 sekunder. For å kompensere for mulig tidssving mellom klienten og serveren tillater vi et ekstra token før og etter gjeldende tid. Hvis du opplever problemer med dårlig tidssynkronisering, kan du øke vinduet fra standardstørrelsen på + -1min (vindusstørrelse på 3) til omtrent + -4min (vindustørrelse på 17 akseptable symboler). Vil du gjøre det? (å / n) n
  • Hvis datamaskinen du logger på ikke er herdet mot påloggingsforsøk med brute-force, kan du aktivere hastighetsbegrensning for autentiseringsmodulen. Som standard begrenser dette angripere til ikke mer enn tre påloggingsforsøk hvert 30. år. Vil du aktivere hastighetsbegrensende (å / n) y

Igjen, hver bruker som trenger å logge seg på CentOS-serveren, via SSH, må gjøre ovenstående.

Konfigurerer SSH

Det er to filer du må redigere. Åpne den første med kommandoen sudo nano /etc/pam.d/sshd . Legg til følgende i bunnen av denne filen:

 autorisasjon krevde pam_google_authenticator.so 

Det er et alternativ å legge til nullok på slutten av linjen. Dette er et alternativ hvis du har brukere som ennå ikke har kjørt google-authenticator-kommandoen og trenger å logge på serveren, via ssh. Jeg foretrekker å ikke bruke dette alternativet og sørge for at alle har kjørt kommandoen før SSH konfigureres til å kreve 2FA.

Lagre og lukk den filen.

Den neste filen åpnes for redigering med kommandoen sudo nano / etc / ssh / sshd_config . Se etter linjen:

 ChallengeResponseAuthentication no 

Endre linjen over til:

 ChallengeResponseAuthentication ja 

Lagre og lukk den filen.

Start sshd på nytt med kommandoen sudo systemctl omstart sshd . På dette tidspunktet må alle som forsøker å logge seg på CentOS-serveren, via SSH, inkludere en bekreftelseskode fra enten Authy eller Google Authenticator-appen. Uten kode kan de ikke logge inn. Periode. Hvis du synes at 2FA ikke fungerer, kan det hende du må starte serveren på nytt. Forsikre deg om at du har fysisk tilgang til serveren i tilfelle noe skulle gå galt, slik at du kan logge inn lokalt og feilsøke.

En må gjøre

Hver CentOS (eller Linux) administrator bør vurdere dette som et must for servere. Selv om SSH er en veldig sikker protokoll, kan det være veldig langt å låse den enda lenger for å sikre dine servere og dine data.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com