Google Authenticator non "chiama casa" su Google: tutto il lavoro avviene sul tuo server SSH e sul tuo telefono. Di fatto, Google Authenticator è completamente open-source, quindi puoi persino esaminarne il codice sorgente.
Installa Google Authenticator
Per implementare l'autenticazione a più fattori con Google Authenticator, abbiamo bisogno del modulo PAM di Google Authenticator open-source. PAM sta per "modulo di autenticazione pluggable": è un modo per collegare facilmente diverse forme di autenticazione in un sistema Linux.
I repository software di Ubuntu contengono un pacchetto di facile installazione per il modulo PAM di Google Authenticator. Se la tua distribuzione Linux non contiene un pacchetto per questo, dovrai scaricarlo dalla pagina dei download di Google Authenticator su Google Code e compilarlo da solo.
Per installare il pacchetto su Ubuntu, eseguire il seguente comando:
sudo apt-get install libpam-google-authenticator
(Questo installerà solo il modulo PAM sul nostro sistema - dovremo attivarlo manualmente per gli accessi SSH.)
Crea una chiave di autenticazione
Accedi come utente con cui effettuerai il login da remoto ed esegui il google-autenticatore comando per creare una chiave segreta per quell'utente.
Consenti al comando di aggiornare il tuo file Google Authenticator digitando y. Ti verranno quindi poste diverse domande che ti consentiranno di limitare gli usi dello stesso token di sicurezza temporaneo, aumentare la finestra temporale in cui è possibile utilizzare i token e limitare i tentativi di accesso consentiti per ostacolare i tentativi di cracking della forza bruta. Queste scelte scambiano un po 'di sicurezza per una certa facilità d'uso.
Attiva Google Authenticator
Successivamente dovrai richiedere Google Authenticator per gli accessi SSH. Per fare ciò, apri il /etc/pam.d/sshd file sul tuo sistema (ad esempio, con sudo nano /etc/pam.d/sshd comando) e aggiungere la seguente riga al file:
auth required pam_google_authenticator.so
Quindi, apri il / Etc / ssh / sshd_config file, individuare il ChallengeResponseAuthentication linea e modificarlo come segue:
ChallengeResponseAuthentication yes
(Se la ChallengeResponseAuthentication la linea non esiste già, aggiungi la riga sopra al file.)
Infine, riavvia il server SSH in modo che le modifiche abbiano effetto:
sudo service ssh restart