介绍
一个 authentication factor 是用于证明您有权执行某项操作的信息,例如登录系统。一个 authentication channel 是认证系统向用户提供一个因素的方式,或者要求用户作出回应。
SSH 默认使用密码进行身份验证,大多数 SSH 硬化指令建议使用 SSH 密钥,但这仍然只是一个因素。
在本教程中,我们将设置多因素身份验证来对抗这一点。 多因素身份验证 (MFA) 需要一个以上的因素来身份验证,或登录. 这意味着一个坏的演员将不得不妥协多个事情,如您的计算机和您的手机,进入。
1、你所知道的东西,如密码或安全问题 2.你所拥有的东西,如身份验证应用程序或安全代币 3.你所拥有的东西,如你的指纹或声音
一个常见的因素是OATH-TOTP应用程序,如Google Authenticator。 OATH-TOTP(开放身份验证基于时间的一次密码)是一个开放的协议,生成一次性密码,通常是一个6位数的数字,每30秒就被回收。
本文将介绍如何使用 OATH-TOTP 应用程序除了 SSH 密钥外启用 SSH 身份验证,然后通过 SSH 登录您的服务器将需要两种因素,从而使其比单独使用密码或 SSH 密钥更安全。
前提条件
要遵循本教程,您将需要:
- 一个 Ubuntu 16.04 服务器具有 sudo 非 root 用户、 SSH 密钥和启用防火墙,您可以通过遵循 此初始服务器设置教程来设置。
步骤 1 – 安装 Google PAM
在此步骤中,我们将安装和配置谷歌的PAM。
PAM,即可插入身份验证模块,是Linux系统中用于验证用户的身份验证基础设施,因为谷歌创建了OATH-TOTP应用程序,所以他们还创建了一种PAM,可以生成TOTP,并且完全兼容任何OATH-TOTP应用程序,如Google Authenticator或Authy(https://www.authy.com/)。
首先,更新Ubuntu的存储库缓存。
1sudo apt-get update
接下来,安装PAM。
1sudo apt-get install libpam-google-authenticator
当 PAM 安装时,我们将使用附带 PAM 的助手应用来生成您想要添加第二个因素的用户的 TOTP 密钥. 此密钥是基于用户对用户的生成,而不是整个系统的生成。
启动初始化应用程序。
1google-authenticator
运行命令后,您将被问到几个问题,第一个问题是是否应该基于时间的身份验证令牌。
1[secondary_label Output]
2Do you want authentication tokens to be time-based (y/n) y
使用 sequential-based tokens 意味着代码在特定时刻开始,然后在每次使用后增加代码。使用 time-based tokens 意味着代码在一定时间过后随机变化。
回答此问题后,大量的输出将滚动过去,包括一个大QR代码。在此时,使用手机上的身份验证应用程序来扫描QR代码或手动键入秘密密密钥。如果QR代码太大了可以扫描,您可以使用QR代码上方的URL来获得更小的版本。
美元(注)
** 注意**:确保您将秘密密密钥、验证代码和恢复代码记录在安全的地方,例如密码管理器。
美元
剩下的问题告诉PAM如何运作,我们将逐一审查。
1[secondary_label Output]
2Do you want me to update your "~/.google_authenticator" file (y/n) y
这将键和选项写入.google_authenticator 文件. 如果你说不,程序会停止,没有任何东西被写入,这意味着身份验证器不会工作。
1[secondary_label Output]
2Do you want to disallow multiple uses of the same authentication
3token? This restricts you to one login about every 30s, but it increases
4your chances to notice or even prevent man-in-the-middle attacks (y/n) y
通过在这里回答是,您正在通过使每个代码在使用后立即过期来防止重播攻击,从而防止攻击者捕捉您刚刚使用的代码并使用它登录。
1[secondary_label Output]
2By default, tokens are good for 30 seconds and in order to compensate for
3possible time-skew between the client and the server, we allow an extra
4token before and after the current time. If you experience problems with poor
5time synchronization, you can increase the window from its default
6size of 1:30min to about 4min. Do you want to do so (y/n) n
回答是在这里允许移动四分钟窗口中最多 8 个有效代码. 回答不时,您将其限制在 1:30 分钟滚动窗口中的 3 个有效代码。
1[secondary_label Output]
2If the computer that you are logging into isn't hardened against brute-force
3login attempts, you can enable rate-limiting for the authentication module.
4By default, this limits attackers to no more than 3 login attempts every 30s.
5Do you want to enable rate-limiting (y/n) y
速度限制意味着远程攻击者只能在被阻止之前尝试一定数量的猜测。
美元(注)
** 注意**:完成此设置后,如果您想要备份您的秘密密钥,您可以将 ~/.google-authenticator 文件复制到可信的位置。
美元
现在,谷歌的PAM已安装和配置,下一步是配置SSH以使用您的TOTP密钥,我们需要告诉SSH关于PAM,然后配置SSH以使用它。
步骤 2 – 配置 OpenSSH
因为我们将对 SSH 进行 SSH 更改,所以重要的是永远不要关闭您的初始 SSH 连接,而是打开第二个 SSH 会话来进行测试,以避免在 SSH 配置中出现错误时将自己锁定出您的服务器。
要开始打开sshd配置文件以使用nano或您最喜欢的文本编辑器进行编辑。
1sudo nano /etc/pam.d/sshd
将下列行添加到文件的底部。
1[label /etc/pam.d/sshd]
2. . .
3# Standard Un*x password updating.
4@include common-password
5auth required pam_google_authenticator.so nullok
最后一行末尾的nullok字告诉PAM这种身份验证方法是可选的,这允许没有OATH-TOTP代币的用户仍然使用他们的SSH密钥登录。
保存并关闭文件。
接下来,我们将配置SSH以支持此类身份验证。
1sudo nano /etc/ssh/sshd_config
搜索ChallengeResponseAuthentication,并将其值设置为是。
1[label /etc/ssh/sshd_config]
2. . .
3# Change to yes to enable challenge-response passwords (beware issues with
4# some PAM modules and threads)
5ChallengeResponseAuthentication yes
6. . .
保存并关闭文件,然后重新启动SSH以重新加载配置文件.重新启动sshd服务不会关闭开放的连接,因此您不会冒险用此命令锁定自己。
1sudo systemctl restart sshd.service
要测试到目前为止的一切工作,打开另一个终端,并尝试通过SSH登录. 如果您以前创建了SSH密钥并正在使用它,您会注意到您不必输入用户密码或MFA验证代码。
接下来,要将 SSH 密钥作为一个因素和验证代码作为第二个因素,我们需要告诉 SSH 使用哪些因素,并防止 SSH 密钥超过所有其他类型。
步骤 3 – 让 SSH 意识到 MFA
重新打开sshd配置文件。
1sudo nano /etc/ssh/sshd_config
添加下列行到文件底部. 这告诉SSH哪些身份验证方法是必要的. 这个行告诉SSH我们需要一个SSH密钥和一个密码或验证代码(或所有三个)。
1[label /etc/ssh/sshd_config]
2. . .
3UsePAM yes
4AuthenticationMethods publickey,password publickey,keyboard-interactive
保存并关闭文件。
接下来,重新打开 PAM sshd 配置文件。
1sudo nano /etc/pam.d/sshd
查找@include common-auth行,并通过添加#字符作为行上的第一个字符来评论它,这告诉PAM不要请求密码。
1[label /etc/pam.d/sshd]
2. . .
3# Standard Un*x authentication.
4#@include common-auth
5. . .
保存并关闭文件,然后重新启动 SSH。
1sudo systemctl restart sshd.service
现在尝试在不同的会话中再次登录服务器. 与上次不同,SSH应该请求您的验证代码. 输入后,您将被登录. 即使您看不到您的SSH密钥被使用的任何迹象,您的登录尝试使用了两个因素。 如果您想要验证,您可以添加v(for verbose)在SSH命令后:
1[secondary_label Example SSH output\]
2. . .
3debug1: Authentications that can continue: publickey
4debug1: Next authentication method: publickey
5debug1: Offering RSA public key: /Users/sammy/.ssh/id_rsa
6debug1: Server accepts key: pkalg rsa-sha2-512 blen 279
7Authenticated with partial success.
8debug1: Authentications that can continue: password,keyboard-interactive
9debug1: Next authentication method: keyboard-interactive
10Verification code:
在输出的末尾,你会看到SSH在哪里使用你的SSH密钥,然后要求验证代码。你现在可以使用SSH密钥和一次性密码登录SSH。
步骤 4 — 添加第三个因素(可选)
在步骤3中,我们列出了在sshd_config文件中批准的身份验证类型:
- 公共密钥 (SSH 密钥)
- 密码公共密钥 (密码)
- 键盘交互式 (验证代码)
虽然我们列出了三个不同的因素,但我们迄今为止选择的选项只允许一个SSH密钥和验证代码,如果你想拥有所有三个因素(SSH密钥,密码和验证代码),一个快速的更改将允许所有三个。
打开 PAM sshd 配置文件。
1sudo nano /etc/pam.d/sshd
查找您之前评论过的行,#@include common-auth,并通过删除#字符来删除该行。
1sudo systemctl restart sshd.service
通过启用@include common-auth选项,PAM现在将要求一个密码,除了检查SSH密钥并要求验证代码,我们之前已经工作了。
到目前为止,本文已经描述了如何使用SSH密钥和基于时间的一次性密码启用MFA。如果这是你所需要的一切,你可以在这里结束。然而,这不是做多因素身份验证的唯一方法。以下是使用这个PAM模块进行多因素身份验证的几种额外方法,以及一些提示和技巧来恢复,自动使用和更多。
步骤 1 - 恢复访问
就像你硬化和保护的任何系统一样,你会负责管理安全性,在这种情况下,这意味着不丢失你的SSH密钥或TOTP秘密密密钥,并确保你可以访问TOTP应用程序,但有时事情会发生,你可能会失去对你需要进入的密钥或应用程序的控制。
失去 SSH 密钥或 TOTP 秘密密钥
如果你失去了你的SSH密钥或TOTP秘密密钥,恢复可以分成几个步骤. 第一步是没有知道验证代码而返回,第二步是找到秘密密密钥或再生它为正常MFA登录。
要在丢失在DigitalOcean Droplet上生成验证代码的秘密密密钥后进入,您可以简单地使用虚拟控制台(https://andsky.com/tech/tutorials/how-to-use-the-digitalocean-console-to-access-your-droplet)从仪表板登录使用您的用户名和密码。
否则,您将需要一个具有 sudo 访问的管理用户;请确保不为该用户启用 MFA,而是使用 SSH 密钥. 如果您或其他用户丢失了其秘密密密钥并无法登录,那么管理用户可以登录并帮助恢复或再生任何使用sudo的用户的密钥。
一旦您登录,有两种方法可以帮助获取TOTP秘密:
- 恢复现有密钥
- 生成新的密钥
在每个用户的首页目录中,秘密密钥和Google Authenticator的设置都保存在~/.google-authenticator。这个文件的第一行是秘密密钥。获取密钥的快速方法是执行以下命令,该命令显示了google-authenticator文件的第一行(即秘密密钥)。
1head -n 1 /home/sammy/.google_authenticator
如果有理由不使用现有密钥(例如,无法轻松安全地与受影响的用户共享秘密密密钥),您可以直接删除 ~/.google-authenticator 文件。
失去访问 TOTP 应用程序
如果您需要登录您的服务器,但无法访问您的TOTP应用程序以获取验证代码,您仍然可以使用首次创建秘密密密钥时显示的恢复代码登录。
步骤 2 – 更改身份验证设置
如果您想在初始配置后更改 MFA 设置,而不是使用更新的设置生成新的配置,您可以简单地编辑 ~/.google-authenticator 文件。
1[label .google-authenticator layout]
2<secret key>
3<options>
4<recovery codes>
在此文件中设置的选项在选项部分有一个行;如果您在初始设置时对某个选项回答不,则相应的行将被排除在文件中。
以下是您可以对该文件进行的更改:
- 要启用序列代码而不是基于时间的代码,请将代码到期窗口延长至 4 分钟,将行
" TOTP_AUTH添加到" HOTP_COUNTER 1。 - 若要启用单个代码的多个用途,请删除行
" DISALLOW_REUSE. - 若要延长代码到期限为 4 分钟,请添加行
" WINDOW_SIZE 17. - 若要禁用多个失败登录(率限制),请删除行
" RATE_LIMIT 3 30. - 若要更改率限制的门槛,请找到行 `" RATE_LIMIT
提示3 – 避免某些账户的MFA
例如,某些使用 SSH 的应用程序,如某些 FTP 客户端,可能不支持 MFA. 如果应用程序没有方法请求验证代码,请求可能会停留,直到 SSH 连接时间结束。
只要/etc/pam.d/sshd中的几个选项设置正确,您可以控制用户对用户的基础上使用的因素。
若要允许某些帐户的 MFA 和其他帐户的 SSH,请确保在 `/etc/pam.d/sshd 中的下列设置已启用。
1[label /etc/pam.d/sshd]
2# PAM configuration for the Secure Shell service
3
4# Standard Un*x authentication.
5#@include common-auth
6
7. . .
8
9# Standard Un*x password updating.
10@include common-password
11auth required pam_google_authenticator.so nullok
在这里,@include common-auth被评论,因为密码需要被禁用。如果某些帐户有意禁用MFA,则不能强迫MFA,所以在最后一行留下nullok选项。
设置此配置后,只需像任何需要 MFA 的用户一样运行google-authenticator,而不要为只使用 SSH 密钥的用户运行。
提示 4 – 自动设置与配置管理
许多系统管理员使用 配置管理工具,如 Puppet, Chef 或 Ansible,以管理他们的系统. 如果您想要使用这样的系统在创建新用户帐户时安装一个秘密密钥,那么有一个方法可以做到这一点。
「google-authenticator」支持命令行交换,以便在单个非交互式命令中设置所有选项。 若要查看所有选项,您可以键入「google-authenticator --help」。
1google-authenticator -t -d -f -r 3 -R 30 -W
这回答了我们手动回答的所有问题,将其保存到一个文件中,然后输出秘密密密钥,QR代码和恢复代码(如果您添加旗帜 -q,那么不会有任何输出)。
提示5 – 强迫所有用户使用MFA
如果你想强制所有用户的MFA,即使在第一次登录,或者如果你宁愿不依赖你的用户生成自己的密钥,有一个简单的方法来处理这一点。
要做到这一点,配置文件最初创建后,特权用户需要将文件复制到每个主目录的根,并将其权限更改给相应的用户。
金钱(警告)
警告:这可能是一个安全风险,因为每个人都共享相同的第二个因素。
美元
强制创建用户的秘密密密钥的另一种方法是使用一个 Bash 脚本:
- 创建一个 TOTP 代币,
- 促使他们下载 Google Authenticator 应用程序并扫描将显示的 QR 代码,以及
- 在检查.google-authenticator 文件是否已经存在后,为他们运行
google-authenticator应用程序。
要确保脚本在用户登录时运行,您可以将其命名为 .bash_login,并将其放置在其主目录的根部。
结论
也就是说,通过在两个渠道(您的计算机 + 您的手机)中有两个因素(SSH 密钥 + MFA 代币),您使外部代理人很难通过 SSH 进入您的机器,并大大提高了您的机器的安全性。