Two way authorisatie voor SSH

By | 5 december 2013

Google heeft de google-authenticator beschikbaar gesteld. Hiermee kan niet alleen voor Google’s eigen diensten maar ook voor je eigen server twee weg authenticatie ofwel two-way authentication geactiveerd worden. Dit gaat erg eenvoudig maar de toegevoegde security is aanzienlijk. Op je smartfone dien je gratis google-authenticator app te installeren. Die is er voor oa. IOS en Android.

Download of installeer het google-authenticator package. Draai als gebruiker waarvoor de two way authenticatie geactiveerd moet worden google-authenticator. Na een paar vragen wordt een QR code getoond en deze scan je m.b.b. de Google Authenticator APP in.

Configuratie PAM

In /etc/pam.d voeg aan sshd de volgende regel toe:

    auth required pam_google_authenticator.so

Configuratie SSH daemon

In /etc/ssh moet de volgende regel komen te staan:

    ChallengeResponseAuthentication yes

Hierna moet de ssh daemon worden herstart: service sshd restart

Hierna zal de gebruiker die in wil loggen middels SSH en waar Google Authenticator voor is geconfigureerd eerst de vraag voor zijn password en daarna voor zijn Verification Code. Dit is het getal wat getoond wordt voor de betreffende host in de APP.

   ssh marcw@hyena.linuxpro.nl
   Password: 
   Verification code: 
   
   Last login: .... from xx.xx.xx.xxx
   [marcw@hyena ~]$