Tvåfaktorsautentisering vid SSH-inloggning
Med hjälp av en PAM-modul går det att aktivera tvåfaktorsautentisering i Linux med exempelvis Google Authenticator-appen. Linuxsystemet kräver då både användarens lösenord samt ett engångslösenord. Det går även att kombinera en SSH-nyckel med ett engångslösenord.
Bild: Gerd Altmann
Att kräva tvåfaktorsautentisering vid lösenordsinloggning över SSH höjer säkerheten ett snäpp. Angriparen måste då ha tillgång till både användarens lösenord och dennes enhet som genererar engångslösenorden.
I denna artikel kommer vi endast att aktivera tvåfaktorsautentisering när inloggningen sker över SSH. Om man vill går det däremot att aktivera vid all form av inloggning i Linux, från konsolinloggningen till upplåsningen av skärmsläckaren.
Stegen i denna artikeln är endast testade på Ubuntu 22.04.
ANNONS
Börja med att installera PAM-modulen för Google Authenticator:
$> sudo apt install -y libpam-google-authenticator
Trots namnet går modulen att använda även med andra 2FA-appar, exempelvis Authy eller 1Password.
När modulen är installerad behöver vi lägga in den i PAM-kedjan för SSH.
Öppna /etc/pam.d/sshd. På den femte raden, raden under @include
common-auth lägger vi in följande rad:
auth required pam_google_authenticator.so nullok
De översta raderna i min /etc/pam.d/sshd ser därför ut som följande:
# PAM configuration for the Secure Shell service
# Standard Un*x authentication.
@include common-auth
auth required pam_google_authenticator.so nullok
# Disallow non-root logins when /etc/nologin exists.
account required pam_nologin.so
Argumentet nullok till PAM-modulen Google Authenticator betyder att det är
okej att släppa in användare som inte har aktiverat sin
tvåfaktorsautentisering ännu.
Nu kan vi aktivera tvåfaktorsautentisering för den egna användaren. Detta kommer att köra en guide där vi kopierar en kod från terminalen till vår 2FA-app, alternativt skannar QR-koden som visas. Vi måste också svara på några frågor om hur vi vill att 2FA-inloggningen ska fungera:
$> google-authenticator
Do you want authentication tokens to be time-based (y/n) y
Warning: pasting the following URL into your browser exposes the OTP secret to Google:
[...]
Your new secret key is: YZGAATGZ5KWB7CC4HYG7R6BO4B
Enter code from app (-1 to skip): 1398439
Code confirmed
Your emergency scratch codes are:
41501547
58060132
24377953
41912180
67580287
Do you want me to update your "/home/jake/.google_authenticator" file? (y/n) y
Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y
By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
[...]
Do you want to do so? (y/n) n
If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting? (y/n) y
Därefter behöver vi aktivera något som heter Keyboard interactive i SSH-demonens konfiguration. Gör vi inte detta kommer ingen användare att kunna logga in!
I filen /etc/ssh/sshd_config ändrar vi KbdInteractiveAuthentication från
no till yes. Raden ska alltså se ut så här:
KbdInteractiveAuthentication yes
Därefter laddar vi om SSH-demonen så att den nya inställningen får effekt:
$> sudo systemctl reload ssh
Nu kan vi testa att logga ut och logga in igen (över SSH). Om du bara loggar in med lösenord i vanliga fall kommer du nu bli tillfrågad efter både lösenord och ett engångslösenord (benämnns Verification Code av modulen).
$> exit
localhost$> ssh jake@192.168.0.43
Password:
Verification code:
$>
Om du däremot loggar in med en SSH-nyckel kommer du loggas in direkt, utan att bli tillfrågad efter 2FA-koden.
Demonstration
Kommentarer
Kommentarsfältet är modererat. Det innebär att alla kommentarer granskas av ansvarig utgivare före publicering.
Du väljer själv om du vill ange ditt riktiga namn, en pseudonym eller vara helt anonym. Ingen registrering behövs.
Relaterade artiklar
-
Vidarebefordran av SSH-agenten
SSH agent forwarding, eller vidarebefordran av SSH-agenten, innebär att man kan vidarebefordra SSH-agenten till ett fjärrsystem. På så sätt behöver man inte kopiera sin privata SSH-nyckel till fjärrsystemet, eller skapa flera nycklar för olika system. Men det finns risker med det.
-
Jenkins som ett alternativ till Ansible Tower
Ansible Tower kommer med en stor prislapp, speciellt för ett mindre företag eller en privatperson. AWX å andra sidan är helt fritt, men kräver numera Kubernetes. För den som vill automatisera sina Ansible Playbooks går det dock bra att använda Jenkins som en ersättning för Tower och AWX.
-
Hämta data från API:er med cURL och jq
Med cURL och jq går det att extrahera data från API:er direkt från kommandoraden. Jq är en JSON-tolkare och beskrivs av utvecklarna som sed och awk för JSON.
-
Det nya Docker Compose
Sedan i mitten av förra året har det gamla Python-baserade
docker-compose-kommandot sakta ersatts av det nyare Go-baseradedocker compose. Det nya kommandot är ett plugin till Docker istället för ett fristående kommando som tidigare.
Senaste nyheterna och inläggen
-
Vidarebefordran av SSH-agenten
SSH agent forwarding, eller vidarebefordran av SSH-agenten, innebär att man kan vidarebefordra SSH-agenten till ett fjärrsystem. På så sätt behöver man inte kopiera sin privata SSH-nyckel till fjärrsystemet, eller skapa flera nycklar för olika system. Men det finns risker med det.
-
Pågadata tar vid efter Gubbdata
Från kvällen den 30 juni till lunchtid den 2 juli nästa år hålls det första Pågadata någonsin. Platsen blir Folkets Hus i Kvidinge på Linnégatan 21.
-
Ansible från grunden är här
-
Jenkins som ett alternativ till Ansible Tower
Ansible Tower kommer med en stor prislapp, speciellt för ett mindre företag eller en privatperson. AWX å andra sidan är helt fritt, men kräver numera Kubernetes. För den som vill automatisera sina Ansible Playbooks går det dock bra att använda Jenkins som en ersättning för Tower och AWX.
-
Poliser satte dit oskyldig
Två poliser dömdes i juni till vardera ett års fängelse av Lunds tingsrätt för att ha misshandlat och gripit en oskyldig man i hans bostad i Landskrona. Händelsen ägde rum en natt i mars förra året och spelades in av en övervakningskamera i mannens bostad.
Utvalda artiklar
-
Poliser satte dit oskyldig
Två poliser dömdes i juni till vardera ett års fängelse av Lunds tingsrätt för att ha misshandlat och gripit en oskyldig man i hans bostad i Landskrona. Händelsen ägde rum en natt i mars förra året och spelades in av en övervakningskamera i mannens bostad.
-
Retroloppis i Påarp
Idag var det retroloppis hos Andreas Nilsson i Påarp. På baksidan av huset fanns hundratals spel uppradade på långa bord. Trots friska vindar och sval temperatur var loppisen välbesökt.
-
Stort deltagande på årets Gubbdata
I helgen var det Gubbdata i Lund – ett av Sveriges största demoparty. På plats fanns cirka ett hundra deltagare, alla med en passion för retrodatorer.
-
Kapad identitet
I mitten av september förra året blev Kristina utsatt för ett id-kapningsförsök. Någon hade ansökt om ett lån på 250 000 kr i hennes namn. Låneansökan gick ut till ett 20-tal banker.
-
Amiga-scenen lever än
I en villa mellan Ljungskile och Stenungsund den 27 november träffades de igen, ett gäng glada Amiga-entusiaster. Man träffas för att prata, titta på demos, spela och ha allmänt trevligt.
CyberInfo Sverige är ett IT- och medieföretag i nordvästra Skåne som tillhandahåller böcker, utbildningar, nyheter och konsulttjänster inom Linux, säkerhet och programmering.
CyberInfo Sverige är godkänd för F-skatt, är momsregistrerat och innehar
utgivningsbevis för webbplatsen www.cyberinfo.se.
