Sukurkite autentifikavimo raktą
Prisijunkite kaip naudotojas, su kuriuo prisijungsite nuotoliniu būdu, ir paleiskite komandą google-authenticator, kad sukurtumėte slaptą to vartotojo raktą.
Leiskite komandai atnaujinti „Google Authenticator“failą įvesdami y. Tada būsite paraginti pateikti kelis klausimus, kurie leis apriboti to paties laikinojo saugos prieigos rakto naudojimą, padidinti laiko langą, kuriam galima naudoti prieigos raktus, ir apriboti leidžiamus bandymus, kad būtų užkirstas kelias brutaliosios jėgos nulaužimo bandymams. Visi šie pasirinkimai pakeičia tam tikrą saugumą naudojimo paprastumu.
„Google“autentifikavimo priemonė pateiks jums slaptą raktą ir keletą „avarinių kodų“. Užsirašykite avarinius įbrėžimų kodus saugioje vietoje – juos galima naudoti tik vieną kartą ir jie skirti naudoti pametus telefoną.
Įveskite slaptąjį raktą „Google“autentifikavimo priemonės programoje telefone (oficialios programos pasiekiamos „Android“, „iOS“ir „Blackberry“). Taip pat galite naudoti nuskaitymo brūkšninio kodo funkciją – eikite į URL, esantį netoli komandos išvesties viršaus, ir galite nuskaityti QR kodą savo telefono kamera.
Dabar telefone turėsite nuolat besikeičiantį patvirtinimo kodą.
Jei norite nuotoliniu būdu prisijungti kaip keli vartotojai, paleiskite šią komandą kiekvienam vartotojui. Kiekvienas vartotojas turės savo slaptą raktą ir savo kodus.
Suaktyvinti „Google Authenticator“
Toliau turėsite reikalauti „Google Authenticator“, kad galėtumėte prisijungti prie SSH. Norėdami tai padaryti, savo sistemoje atidarykite failą /etc/pam.d/sshd (pavyzdžiui, su sudo nano /etc/pam.d/sshdkomandą) ir prie failo pridėkite šią eilutę:
Toliau atidarykite failą /etc/ssh/sshd_config, suraskite eilutę ChallengeResponseAuthentication ir pakeiskite ją taip:
(Jei eilutės ChallengeResponseAuthentication dar nėra, pridėkite aukščiau pateiktą eilutę prie failo.)
Galiausiai iš naujo paleiskite SSH serverį, kad pakeitimai įsigaliotų:
Būsite paraginti įvesti slaptažodį ir „Google“autentifikavimo priemonės kodą, kai bandysite prisijungti per SSH.
