Token

W czasach dyrektywy unijnej PSD2 która narzuca bankom dodatkowy kanał autoryzacyjny ( kody z sms albo z aplikacji) pora zabezpieczyć nasz serwer podobnym zabezpieczeniem 🙂

Kody będziemy generowali w aplikacji Google Authenticator

Aplikacje można ściągnąć ze sklepu play https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=pl

Nie posiadam zabawek z IOS’ więc wam nie pomogę z nim.

na serwerze musimy zainstalować libpam-google-authenticator

apt-get install libpam-google-authenticator

O ile się zgadzamy to instalujemy 🙂

Aby odpalić wszystko co potrzebne musimy odpalić soft komendą

google-authenticator

I ukazuje się piękny obrazek

w Tym momencie musimy zrobić dwie ważne rzeczy 🙂

Zapisać kody awaryjne ( w razie gdyby coś poszło nie tak… ) Za pomocą kodów zawsze się zalogujecie

odpalamy aplikacje na telefonie i skanujemy w niej nasz kod QR bądź ręcznie wpisujemy secret key

Jeśli wszystko się uda to zobaczymy taki ekran

odkładamy telefon i wracamy dalej do servera 🙂 i wypełniamy szybką ankiete

Ja wypełniłem sobie tak 🙂 wy możecie jak chcecie 🙂

i teraz

!!!!! NAJWAŻNIEJSZE !!!!!

Dopalcie dwa terminale … bo możecie zablokować sobie dostęp do konta i Jakub będzie musiał wam resetować wszystko !!!

Nic co robimy nie wyloguje was z pierwszego terminalu a zawsze będzie można cofnąć zmiany

Uczcie się na moich błędach!!!!

Skoro telefon i soft do tokenów mamy jako tako skonfigurowany … to… musimy zmusić jakoś nasz serwer aby korzystał z tokenów 🙂

bawimy się w edycje plików

na pierwszy ogień idzie /etc/pam.d/sshd

pico /etc/pam.d/sshd

w nim na samym dole pliku dodajemy

auth required pam_google_authenticator.so

Klawisze ctrl+x y enter zapiszą nam plik

Kolejny plik do edycji to ” /etc/ssh/sshd_config „

pico /etc/ssh/sshd_config

Tu musimy znaleźć linijkę która zaczyna się na „ChallengeResponseAuthentication” i zmienić to co jest w tej linijce napisane z „no” na „yes”

To nie koniec 🙂 bo musimy się upewnić czy w ostatniej linijce „UsePAM” jest ustawione na „yes”

no i teraz przed ostatni krok … restart serwera ssh czyli tego przez który łączymy się do naszego serwera …

PAMIĘTAJ NIE ZAMYKAJ POŁĄCZONEGO OKNA !!! W TYM MOMENCIE MOŻNA COFNĄĆ WSZYSTKIE ZMIANY!!!

komenda

sudo systemctl restart sshd.service

Teraz odpalamy nowe połaczenie do serwera

Prawy przycisk myszki na belce i duplicate Session

I tak wygląda nasz nowy ekran logowania

wpisujemy nasz login i nasze hasło + kod aplikacji w telefonie 🙂

Jeśli wszystko działa to możemy cieszyć się z bardziej zabezpieczonego serwera 🙂

Z doświadczenia wiem, że jest to upierdliwe ale bezpieczne zabezpieczenie ( na pewno bezpieczniejsze niż samo hasło 🙂 )

Powodzenia 🙂

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *