このガイドでは、Google®Authenticator™を使用して2要素認証(2FA)を設定する方法の概要を説明します。
多くの人がGoogleAuthenticatorを使用してGmail™などのGoogleアプリを保護しています。ただし、Secure Shell(SSH)ログインに2要素認証を使用することもできます。
SSHを使用すると、ブルートフォース攻撃の成功につながる可能性のある弱いパスワードを誤って使用することから保護できます。このガイドでは、CentOS®6およびUbuntu®12.04Linux®ディストリビューションを実行しているサーバーにGoogle認証システムを実装する方法を説明します。
重要 :このガイドの手順を完了した後、SSHキーが既に設定されていない限り、すべてのユーザー(rootを含む)がGoogle認証システムを使用してSSH経由で接続する必要があります。 Google Authenticatorを設定する前に、管理チームに確認して、誤ってアクセスを無効にしたり、SSHの使用をロックアウトしたりしないようにしてください。
Google Authenticatorモジュールをインストールするには、コマンドラインインターフェイス(CLI)を開き、ディストリビューションに対応する手順に従います。
RedHat6ベースのシステム
次のコマンドを実行して、モジュールをRedHat®6にインストールします。
rpm -ivh https://linux.mirrors.es.net/fedora-epel/6/x86_64/epel-release-6-7.noarch.rpm
yum install google-authenticator
次の手順を使用して、Debian®ベースのシステムにモジュールをインストールします。
-
次のコマンドを実行して、Debianにモジュールをインストールします。
aptitude install libpam-google-authenticator -
次に、 /etc/pam.d/sshdを開きます ファイルを作成し、認証の最後に次の行を追加します セクション:
auth required pam_google_authenticator.so -
/ etc / ssh / sshd_configを開きます ファイルと変更
ChallengeResponseAuthentication noChallengeResponseAuthentication yesへ 。 -
次のコマンドを使用して、
sshdを再起動します :-
Red Hatの場合:
service sshd restart -
Ubuntuオペレーティングシステムの場合:
service ssh restart
-
次の手順を使用して、ユーザーのキーを設定します。
-
次のコマンドを実行します:
google-authenticator -
yesと答えてください 〜/.google_authenticatorファイルを更新するように求められたとき 次の3つのプロンプトに答えてください。
これらの手順を完了すると、次の情報が表示されます。
- 新しい秘密鍵
- 確認コード
- 緊急スクラッチコード
新しい秘密鍵を使用して、アカウントをスマートフォンのGoogleAuthenticatorアプリに追加します。緊急スクラッチコードをメモし、安全な場所に保管してください。スマートフォンを紛失した場合や、スマートフォンのGoogle認証システムアプリを使用せずにアカウントにログインする必要がある場合に使用できます。
これで、ユーザーアカウントでサーバーにログインすると、Google認証トークンとサーバーの標準パスワードの入力を求められます。この設定がないアカウントはログインできません。