Giới thiệu
SSH Two Factor Authentication hay còn gọi là Xác thực 2 bước (2FA) cho dịch vụ SSH, với tính năng này người dùng có thể tăng thêm tính bảo mật cho máy chủ của mình khỏi các nguy cơ tấn công thông qua giao thức SSH. Mời các bạn xem thêm chi tiết cách thực hiện ở bên dưới.
Hướng dẫn thực hiện
Bước 1: Cài đặt và cấu hình Google Authenticator
- Cài đặt Google Authenticator trên Ubuntu
sudo apt install libpam-google-authenticator -y
- Tạo mã xác thực
google-authenticator
Sau khi bạn truy cập url được cấp ra trình duyệt, bạn sẽ thấy mã QR của mình tương tư như hình dưới.
Bây gườ, bạn hãy lấy điện thoại hoặc thiết bị đã được cài đặt sẵn App Google Authenticator và scan mã QR trên. Sau khi scan xong bạn sẽ nhận được một mã code gồm 6 chữ số tương tự như hình.
Tiếp tục quay lại cửa sổ Terminal, bạn hoàn tất phần thiết lập theo hướng dẫn hình dưới.
Bước 2: Cấu hình OpenSSH sử dụng 2FA
- Chỉnh sửa file cấu hình tại /etc/pam.d/sshd
Bây giờ bạn thực hiện Backup file trước, rồi chỉnh sửa theo các lệnh dưới đây.
sudo cp /etc/pam.d/sshd /etc/pam.d/sshd.bak (Backup File)
sudo nano /etc/pam.d/sshd (Chỉnh sửa File)
Thêm nội dung bên dưới vào cuối file và Save lại.
auth required pam_google_authenticator.so nullok
auth required pam_permit.so
- Chỉnh sửa file cấu hình tại /etc/ssh/sshd_config
Bây giờ bạn thực hiện Backup file trước, rồi chỉnh sửa theo các lệnh dưới đây.
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak (Backup File)
sudo nano /etc/ssh/sshd_config (Chỉnh sửa File)
Tiếp đó bạn tìm đến giá trị ChallengeResponseAuthentication và set nó thành yes, nếu chưa có bạn có thể thêm vào thủ công.
Bước cuối cùng là bạn khởi động lại dịch vụ SSH với lệnh
sudo systemctl restart sshd.service
Bước 3: SSH vào Server kiểm tra.
Sau khi cấu hình xong, bạn hãy thử SSH vào Server của mình để kiểm tra. Mặc định hệ thống sẽ yêu cầu bạn nhập passwd root trước, tiếp đó sẽ yêu cầu nhập code 2FA từ thiết bị của bạn. Và dưới đây là mình đã SSH thành công sau khi cấu hình 2FA cho dịch vụ SSH.
Chúc các bạn thực hiện thành công.!
