作者选择了 COVID-19 救援基金作为 Write for Donations计划的一部分接受捐款。
介绍
SSH 默认情况下使用密码进行身份验证,并且 大多数 SSH 硬化指令建议使用 SSH 密钥而不是 SSH 密钥。 然而,SSH 密钥仍然只是一个因素,虽然是一个更安全的因素。 通道是您的计算机上的终端,通过加密隧道将数据发送到远程机器。
在本教程中,我们将设置多因素身份验证来对抗这一点。 多因素身份验证(MFA)或 双因素身份验证(2FA)需要超过一个因素来身份验证或登录。
1、你所知道的东西,如密码或安全问题 2.你所拥有的东西,如身份验证应用程序或安全代币 3.你所拥有的东西,如你的指纹或声音
一个常见的因素是OATH-TOTP应用程序,如Google Authenticator。OATH-TOTP(开放身份验证基于时间的一次密码)是一个开放的协议,可以生成一次性密码,通常是每30秒回收六位数的密码。
本文将介绍如何使用 OATH-TOTP 应用程序除了 SSH 密钥外启用 SSH 身份验证。通过 SSH 登录您的服务器将需要两种因素,从而使其比单独使用密码或 SSH 密钥更安全。
如果您正在寻找有关安全 SSH 连接的进一步指导,请查看以下 关于硬化 OpenSSH 的教程和 硬化 OpenSSH 客户端 。
前提条件
要遵循本教程,您将需要:
- 一个 Ubuntu 20.04 服务器具有 sudo 非根用户、SSH 密钥和启用防火墙,您可以通过以下 初始服务器设置教程来设置。
- 安装了 OATH-TOTP 应用的智能手机或平板电脑,如 Google Authenticator (iOS, Android)。
- 另外,您还可以使用名为
oathtool的 Linux 命令行应用来生成 OATH-TOTP 代码。 它在各种分发中可用(repos)(https://www.cyberciti.biz/faq/use-oathtool-linux-command-line-for-2-step-verification-2fa/) - 如果您想要确保您的 SSH 连接,则在本文中有
步骤 1 – 安装 Google PAM
在此步骤中,我们将安装和配置谷歌的PAM。
PAM,即可插入身份验证模块,是Linux系统中用于验证用户的身份验证基础设施,因为谷歌创建了OATH-TOTP应用程序,所以他们还创建了一种PAM,可以生成TOTP,并且完全兼容任何OATH-TOTP应用程序,如Google Authenticator或Authy(https://www.authy.com/)。
首先,更新 Ubuntu 存储库缓存:
1sudo apt-get update
接下来,安装PAM:
1sudo apt-get install libpam-google-authenticator
随着PAM安装,我们将使用带有PAM的辅助应用程序为需要第二个因素的用户生成TOTP密钥,这个密钥是基于用户对用户生成的,而不是整个系统的。
启动初始化应用程序:
1google-authenticator
运行命令后,应用程序会提出几个问题,第一个问题是是否应该基于时间的身份验证令牌:
1[secondary_label Output]
2Do you want authentication tokens to be time-based (y/n) y
使用 sequential-based tokens 意味着代码在某个特定点开始,然后在每次使用后增加代码。使用 time-based tokens 意味着代码在某个特定时间框架后改变。
回答此问题后,大量的输出将滚动过去,包括一个大QR代码。 使用手机上的身份验证应用程序扫描QR代码或手动键入秘密密密钥。 如果QR代码太大了可以扫描,您可以使用QR代码上方的URL获取更小的版本。
美元(注)
** 注意**:确保您将秘密密密钥、验证代码和恢复代码记录在安全的地方,例如密码管理器。
美元
剩下的问题告知PAM如何运作,我们将逐一审查它们:
1[secondary_label Output]
2Do you want me to update your "~/.google_authenticator" file (y/n) y
这将键和选项写入 .google_authenticator 文件. 如果你说不,程序会停止,没有任何东西被写入,这意味着身份验证器不会起作用:
1[secondary_label Output]
2Do you want to disallow multiple uses of the same authentication
3token? This restricts you to one login about every 30s, but it increases
4your chances to notice or even prevent man-in-the-middle attacks (y/n) y
通过回答是,您可以通过使每个代码在使用后立即过期来防止重播攻击,从而防止攻击者捕捉您刚刚使用的代码并使用它登录:
1[secondary_label Output]
2By default, a new token is generated every 30 seconds by the mobile app.
3In order to compensate for possible time-skew between the client and the server,
4we allow an extra token before and after the current time. This allows for a
5time skew of up to 30 seconds between the authentication server and client. Suppose you
6experience problems with poor time synchronization. In that case, you can increase the window
7from its default size of 3 permitted codes (one previous code, the current
8code, the next code) to 17 permitted codes (the eight previous codes, the current
9code, and the eight next codes). This will permit a time skew of up to 4 minutes
10between client and server.
11Do you want to do so? (y/n) n
在移动四分钟窗口中回答是允许最多17个有效代码。 通过回答不,您将其限制到1:30分钟滚动窗口中的3个有效代码。 除非您发现1:30分钟窗口有问题,否则回答不是更安全的选择。
1[secondary_label Output]
2If the computer that you are logging into isn't hardened against brute-force
3login attempts, you can enable rate-limiting for the authentication module.
4By default, this limits attackers to no more than three login attempts every 30s.
5Do you want to enable rate-limiting (y/n) y
率限制意味着远程攻击者只能尝试一定数量的猜测,然后被迫等待一段时间才能再次尝试。
美元(注)
** 注意**:完成此设置后,如果您想要备份您的秘密密钥,您可以将 ~/.google-authenticator 文件复制到可信的位置。
美元
现在,谷歌的PAM已安装和配置,下一步是配置SSH以使用您的TOTP密钥,我们需要告诉SSH关于PAM,然后配置SSH以使用它。
步骤 2 — 配置 OpenSSH 以使用 MFA/2FA
因为我们将对 SSH 进行 SSH 更改,所以重要的是永远不要关闭您的初始 SSH 连接。相反,打开第二个 SSH 会话进行测试,以免在您的 SSH 配置中出现错误时将自己锁定在服务器上。一旦一切正常工作,您可以安全地关闭任何会话。 另一种安全预防措施是创建您正在编辑的系统文件的备份,所以如果有什么不对劲,您可以返回原始文件并使用清洁的配置重新开始。
首先,备份sshd配置文件:
1sudo cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
现在使用nano或您最喜欢的文本编辑器打开文件:
1sudo nano /etc/pam.d/sshd
将下列行添加到文件的底部:
1[label /etc/pam.d/sshd]
2. . .
3# Standard Un*x password updating.
4@include common-password
5auth required pam_google_authenticator.so nullok
6auth required pam_permit.so
最后一行末尾的nullok字告诉PAM,这种身份验证方法是可选的。这允许没有OATH-TOTP代码的用户仍然使用他们的SSH密钥登录。一旦所有用户都有OATH-TOTP代码,您可以从这行中删除nullok,使MFA成为强制性的。如果用户不使用MFA代码登录,则需要使用第二行pam_permit.so来允许身份验证。登录时,每个方法都需要一个SUCCESS来允许身份验证。如果用户不使用MFA auth工具,使用nullok选项将返回互动键盘身份验证的IGNORE。
保存并关闭文件。
接下来,我们将配置SSH以支持此类身份验证。
首先,做一个备份文件:
1sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
现在打开 SSH 配置文件进行编辑:
1sudo nano /etc/ssh/sshd_config
搜索ChallengeResponseAuthentication,并将其值设置为是:
1[label /etc/ssh/sshd_config]
2. . .
3# Change to yes to enable challenge-response passwords (beware issues with
4# some PAM modules and threads)
5ChallengeResponseAuthentication yes
6. . .
保存并关闭文件,然后重新启动SSH以重新加载配置文件.重新启动sshd服务不会关闭我们当前的开放连接,这意味着您不会冒险用这个命令锁定自己:
1sudo systemctl restart sshd.service
要测试到目前为止的一切工作,打开其它终端,并尝试通过SSH登录. 非常重要的是,您保持当前的SSH会话打开,并通过额外的会话测试,否则您将在某个时候锁定自己,并需要使用Web控制台来重新登录。
<$>[注] 注: 如果您之前已经创建了SSH密钥并正在使用它,您将注意到您不必输入用户密码或MFA验证代码,这是因为SSH密钥默认地覆盖了所有其他身份验证选项。
接下来,要将 SSH 密钥作为一个因素和验证代码作为第二个因素,我们需要告诉 SSH 使用哪些因素,并防止 SSH 密钥超过所有其他类型。
步骤 3 – 让 SSH 意识到 MFA
如果您正在使用和 SSH 密钥,MFA 仍然不起作用. 要让 SSH 意识到 MFA,请重新打开sshd配置文件:
1sudo nano /etc/ssh/sshd_config
添加下列行到文件底部. 这告诉SSH需要哪些身份验证方法. 我们告诉SSH用户需要一个SSH密钥和一个密码或验证代码(或三个):
1[label /etc/ssh/sshd_config]
2. . .
3AuthenticationMethods publickey,password publickey,keyboard-interactive
保存并关闭文件。
接下来,重新打开 PAM sshd 配置文件:
1sudo nano /etc/pam.d/sshd
查找@include common-auth行,并通过添加#字符作为行上的第一个字符来评论它,这告诉PAM不要请求密码:
1[label /etc/pam.d/sshd]
2. . .
3# Standard Un*x authentication.
4#@include common-auth
5. . .
保存并关闭文件,然后重新启动 SSH:
1sudo systemctl restart sshd.service
现在尝试再次使用不同的终端会话/窗口登录服务器。与上次不同,SSH应该要求你的验证代码。输入它,你将完成登录。即使没有任何迹象表明你的SSH密钥被使用,你的登录尝试使用了两个因素。如果你想验证这一点,你可以在SSH命令后添加‘-v’(for verbose)。
-v交换机将产生这样的输出:
1[secondary_label Example SSH output\]
2. . .
3debug1: Authentications that can continue: publickey
4debug1: Next authentication method: publickey
5debug1: Offering RSA public key: /Users/sammy/.ssh/id_rsa
6debug1: Server accepts key: pkalg rsa-sha2-512 blen 279
7Authenticated with partial success.
8debug1: Authentications that can continue: password,keyboard-interactive
9debug1: Next authentication method: keyboard-interactive
10Verification code:
在输出的末尾,你会看到SSH在哪里使用你的SSH密钥,然后要求验证代码。你现在可以使用SSH密钥和一次性密码登录SSH。
恭喜您,您在通过 SSH 远程登录到您的服务器时已经成功地添加了第二个因素,如果这是您想要的 —使用您的 SSH 密钥和 TOTP 代币来启用 MFA for SSH (对于大多数人来说,这是最佳的配置) —那么您完成了。
以下是关于恢复、自动使用等的一些技巧和技巧。
步骤 4 — 添加第三个因素(可选)
在步骤3中,我们列出了在sshd_config文件中批准的身份验证类型:
- 公共密钥 (SSH 密钥)
- 密码公共密钥 (密码)
- 键盘交互式 (验证代码)
虽然我们列出了三个不同的因素,我们迄今为止选择的选项只允许一个SSH密钥和验证代码,如果你想拥有所有三个因素(SSH密钥,密码和验证代码),一个快速的更改将允许所有三个。
打开 PAM sshd 配置文件:
1sudo nano /etc/pam.d/sshd
查找您之前评论的行, #@include common-auth,并通过删除 # 字符删除该行。
1sudo systemctl restart sshd.service
通过启用@include common-auth选项,PAM现在将提示您寻找密码,除了检查SSH密钥并要求验证代码,我们之前已经工作了,现在我们可以使用我们知道的东西(密码)和我们有两种不同类型的东西(SSH密钥和验证代码)在两个不同的渠道(您的计算机为SSH密钥和您的手机为TOTP代码)。
步骤 5 – 恢复访问 Google MFA(可选)
就像你硬化和保护的任何系统一样,你会负责管理安全性,在这种情况下,这意味着不要失去你的SSH密钥或TOTP秘密密密钥,并确保你可以访问TOTP应用程序,但有时事情会发生,你可能会失去对你需要进入的密钥或应用程序的控制。
失去你的秘密钥匙
如果你丢失了你的TOTP秘密密钥,你可以将恢复过程打破成几个步骤。第一步是没有知道验证代码而返回,第二步是找到秘密密密钥或再生它来正常MFA登录。
要在失去DigitalOcean Droplet上的TOTP秘密密钥后登录,您可以从仪表板上使用虚拟控制台(https://andsky.com/tech/tutorials/how-to-use-the-digitalocean-console-to-access-your-droplet)使用您的用户名和密码登录。
如果您正在使用非Droplet系统,那么您有两种恢复访问的选择:
- 控制台 (本地/非ssh) 访问系统(通常是物理或通过一些像 iDrac)
- 有不同的用户没有MFA启用
第二种选项是最不安全的选项,因为使用MFA的目的在于硬化所有SSH连接,但如果您失去访问MFA身份验证器应用程序,它是安全的。
一旦您登录,有两种方法可以帮助获取TOTP秘密:
- 恢复现有密钥
- 生成新的密钥
在每个用户的主目录中,秘密密钥和 Google Authenticator 设置都存储在一个 `~/.google-authenticator’ 文件中。 该文件的第一行是秘密密钥。 获取密钥的快速方法是执行以下命令,该命令显示了‘google-authenticator’ 文件的第一行(即秘密钥)。
1head -n 1 /home/sammy/.google_authenticator
一旦你恢复了你的现有密钥,你可以手动键入你的身份验证器应用程序或填写下面的URL中的相关细节,并让谷歌生成一个QR代码来扫描。你需要添加你的用户名,主机名,从.google-authenticator文件的秘密密密钥,然后任何你选择的入口名-in-auth-app的名称,以便轻松识别这个密钥与不同的TOTP代币:
1https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/username@hostname%3Fsecret%3D16-char-secret%26issuer%3Dentry-name-in-auth-app
如果有理由不使用现有密钥(例如,无法轻松安全地与受影响的用户共享秘密密密钥),您可以直接删除 ~/.google-authenticator 文件,这将允许用户仅使用一个因素再次登录,假设您没有通过删除 nullok 选项来执行 MFA。
失去访问 TOTP 应用程序
如果您需要登录您的服务器,但无法访问您的TOTP应用程序以获取验证代码,您仍然可以使用首次创建秘密密密钥时显示的恢复代码登录,并且是.google-authenticator文件的最后五行。
步骤 6 — 更改身份验证设置(可选)
如果您想在初始配置后更改 MFA 设置,而不是使用更新的设置生成新的配置,您可以简单地编辑 ~/.google-authenticator 文件。
1[label .google-authenticator layout]
2<secret key>
3<options>
4<recovery codes>
在此文件中设置的选项在选项部分有一个行;如果您在初始设置时对某个选项回答不,该程序将排除相应的选项。
以下是您可以对该文件进行的一些更改:
- 要启用序列代码而不是基于时间的代码,请将代码到期窗口延长至 4 分钟,将行
" TOTP_AUTH添加到" HOTP_COUNTER 1。 - 若要允许单个代码的多个用途,请删除行
" DISALLOW_REUSE. - 若要延长代码到期限为 4 分钟,请添加行
" WINDOW_SIZE 17. - 若要禁用多个失败登录(率限制),请删除行
" RATE_LIMIT 3 30. - 若要更改率限制门槛,请找到行 `" RATE_LIMIT 3
步骤 7 – 避免某些帐户的MFA(可选)
例如,某些使用 SSH 的应用程序,如某些 FTP 客户端,可能不支持 MFA. 如果应用程序没有方法要求验证代码,请求可能会停留,直到 SSH 连接时间结束。
要控制用户使用哪些因素,您可以编辑 /etc/pam.d/sshd 文件。
若要在某些帐户中允许 MFA,而在其他帐户中只允许 SSH,请确保在 `/etc/pam.d/sshd 中使用以下设置:
1[label /etc/pam.d/sshd]
2# PAM configuration for the Secure Shell service
3
4# Standard Un*x authentication.
5#@include common-auth
6
7. . .
8
9# Standard Un*x password updating.
10@include common-password
11auth required pam_google_authenticator.so nullok
在这里,@include common-auth被评论,因为密码需要被禁用. 如果某些帐户有MFA被禁用,您不能强制MFA,所以在最后一行留下nullok选项。
设置此配置后,将google-authenticator运行为需要 MFA 的任何用户,而不为只使用 SSH 密钥的用户运行。
步骤 8 — 通过配置管理自动设置(可选)
许多系统管理员使用 配置管理工具,如 Puppet, Chef 或 Ansible,以管理他们的系统。
「google-authenticator」支持命令行交换,将所有选项设置为一个单一的非交互式命令. 要查看所有选项,您可以键入「google-authenticator --help」。
1google-authenticator -t -d -f -r 3 -R 30 -w 3
上面提到的选项如下:
- -t => 基于时间的计数器
- -d => 禁令再使用代码
- -f => 强迫编写设置,而不要求用户
- -r => 多少次尝试输入正确的代码
- -R => 几秒钟内用户可以尝试输入正确的代码
- -w => 多少个代码可以同时有效(这些参考 1:30 分钟 - 4 分钟的有效代码窗口)
这完全配置了身份验证器,将其保存到文件中,然后输出秘密密钥,QR代码和恢复代码(如果您添加了旗帜 -q,那么将不会有任何输出)。
步骤 9 – 强制所有用户使用 MFA (可选)
如果你想强制所有用户的MFA,即使在第一次登录,或者更喜欢不依赖你的用户生成他们的密钥,有一个快速的方法来处理这一点。
要做到这一点,创建配置文件后,特权用户需要将文件复制到每个主目录的根,并将其权限更改到适当的用户。
<$>[警告] **警告:**这可能是一个安全风险,因为每个人都共享相同的第二个因素。
强制创建用户的秘密密密钥的另一种方法是使用一个 Bash 脚本:
- 创建一个 TOTP 代币,
- 促使他们下载 Google Authenticator 应用程序并扫描将显示的 QR 代码,以及
- 在检查.google-authenticator 文件是否已经存在后,为他们运行
google-authenticator应用程序。
要确保脚本在用户登录时运行,您可以将其命名为 .bash_login,并将其放置在其主目录的根部。
结论
在本教程中,您已将两个因素(SSH 密钥 + MFA 代币)在两个渠道(您的计算机 + 您的手机)中添加到您的服务器中。
记住,如果你正在寻找有关安全 SSH 连接的进一步指导,请查看这些 关于 OpenSSH 硬化的教程和 OpenSSH 客户端硬化 。