mirror of
https://github.com/fruworg/fruworg.github.io.git
synced 2024-11-16 09:27:17 +03:00
50 lines
1.6 KiB
Markdown
50 lines
1.6 KiB
Markdown
---
|
||
title: Двухфакторная аутентификация для SSH
|
||
description: 2fa, totp, google-authenticator
|
||
date: 2022-11-29T13:35:00+05:00
|
||
tags: [linux, ssh]
|
||
---
|
||
## Установка пакета
|
||
|
||
```shell
|
||
apt install -y openssh-server libpam-google-authenticator
|
||
```
|
||
|
||
## Правка конфига PAM
|
||
|
||
В файл `/etc/pam.d/common-auth` необходимо добавить следующее:
|
||
```config
|
||
auth required pam_google_authenticator.so
|
||
```
|
||
|
||
## Правка конфига ssh
|
||
|
||
В файл `/etc/ssh/sshd_config` необходимо добавить следующее:
|
||
```config
|
||
ChallengeResponseAuthentication yes
|
||
```
|
||
|
||
## Конфигурация аутентификации
|
||
Следующая команда сконфигурирует TOTP.
|
||
Запускать команду следует от имени того пользователя,
|
||
к которому будет инициализированно подключение.
|
||
```shell
|
||
google-authenticator
|
||
```
|
||
|
||
## Управление факторами (необязательно)
|
||
Для запроса ключа при аутентификации необходимо в файл `/etc/ssh/sshd_config` добавить следующее:
|
||
```config
|
||
AuthenticationMethods publickey,password publickey,keyboard-interactive
|
||
```
|
||
|
||
Для отключения запроса пароля при аутентификации необходимо в файле `/etc/pam.d/sshd` закомментировать следующюю строку:
|
||
```config
|
||
# @include common-auth
|
||
```
|
||
|
||
## Перезапуск сервиса ssh
|
||
```shell
|
||
systemctl restart ssh
|
||
```
|