Two way authorisatie voor SSH

Google heeft de google-authenticator beschikbaar gesteld. Hiermee kan niet alleen voor Google’s eigen diensten maar ook voor je eigen server twee weg authenticatie ofwel two-way authentication geactiveerd worden. Dit gaat erg eenvoudig maar de toegevoegde security is aanzienlijk. Op je smartfone dien je gratis google-authenticator app te installeren. Die is er voor oa. IOS en Android.

Download of installeer het google-authenticator package (beschikbaar in de epel repository voor RedHat/CentOS ed). Draai als gebruiker waarvoor de two way authenticatie geactiveerd moet worden google-authenticator.

Na een paar vragen wordt een QR code getoond en deze scan je m.b.v. de Google Authenticator APP in.

Configuratie PAM

In /etc/pam.d voeg aan sshd de volgende regel toe aan het einde toe:

    auth required pam_google_authenticator.so

Configuratie SSH daemon

In /etc/ssh/sshd_config moet de volgende regel komen te staan:

    ChallengeResponseAuthentication yes

Hierna moet de ssh daemon worden herstart: systemctl restart sshd

Hierna zal de gebruiker die in wil loggen middels SSH en waar Google Authenticator voor is geconfigureerd eerst de vraag voor zijn password en daarna voor zijn Verification Code. Dit is het getal wat getoond wordt voor de betreffende host in de APP.

   ssh marcw@hyena.linuxpro.nl
   Password: 
   Verification code: 
   
   Last login: .... from xx.xx.xx.xxx
   [marcw@hyena ~]$