机密信息？将2FA用于VPS / VDS

常见问题是如何可靠地保护您的VPS /专用服务器免受黑客攻击？因此，我决定编写一个有关如何实现两因素身份验证的教程。



2FA是第二级数据保护，因此，只有在确认您的身份后，您才能访问您的帐户。现在，即使攻击者知道用户名和密码，由于进行了双重身份验证，他也将无法访问您的服务器。



两因素身份验证的存在将攻击者访问该帐户的可能性降低到几乎为零，从而确保了用户数据的安全性。



如果您仍然确信通过输入复杂的密码可以确保保护服务器免遭黑客攻击，并且可以保护所有个人数据免遭盗窃，那么您将大错特错。如今，黑客使用了大量方法来快速蛮力甚至是最复杂的密码，因此，两因素身份验证是不容忽视的最重要的安全措施。







我们拿起电话并配置身份验证器应用程序。这很容易。可以使用不同的程序，但是我建议使用Twilio Authy 2-Factor身份验证。



您可以通过以下链接下载它：https://play.google.com/store/apps/details?id=com.authy.authy&hl=ru。



该程序的官方网站：authy.com



Twilio Authy 2-Factor身份验证的优点是能够同时在多个设备上工作，甚至可以在台式机或笔记本电脑上工作。 Google Authenticator没有此选项。如果您突然丢失了智能手机，则将保存所有数据以访问帐户。



从Google Play安装该应用程序并启动它。然后，系统将要求您输入国家代码和电话号码。确保包括您可以访问的电话号码。另外，不要忘记输入您的电子邮件。







下一步是确认。选择最适合您的方法-接收短信或接听电话。



身份验证程序包将需要安装在系统上。这样做如下：

对于Debian 9/10：

root@alexhost:~# apt install libpam-google-authenticator - y

对于CentOS，首先，您需要连接epel存储库：

root@alexhost:~# yum install epel-release

只有这样才能安装软件包：

root@alexhost:~# yum install google-authenticator

在下一阶段，运行：

root@alexhost:~# google-authenticator

系统将询问以下问题：您是否希望身份验证令牌基于时间（y / n。我们回答y，因为此选项最可靠。







针对问题“您是否要我更新您的/root/.google_authenticator”文件？（ y / n）“我们回答y。



对于以下问题：您是否要禁止多次使用相同的身份验证令牌？这会将您限制为每30秒登录一次，但是这增加了您注意到甚至阻止人工干预的机会”中间攻击（y / n）”我们的回答取决于您对安全性的重视程度，并愿意为此牺牲便利性。



事实是，您每30秒最多只能使用身份验证器登录一次。不是很方便，但是绝对安全。



然后，我们还有一个问题：“默认情况下，移动应用程序每30秒生成一个新令牌。为了补偿客户端和服务器之间的时间偏差，我们允许在当前时间之前和之后添加一个额外的令牌。这允许身份验证服务器和客户端之间的时间偏差最多为30秒。如果您遇到时间同步不良的问题，则可以将窗口从默认大小3个允许的代码（一个先前的代码，当前代码，下一个代码）增加到17个允许的代码（8个先前的代码，当前代码和接下来的8个代码）。这将使客户端和服务器之间的时间偏差最长为4分钟。您要这么做吗？ （y / n）”回答y



下一个问题：“如果您登录的计算机没有针对暴力登录尝试进行加固，则可以为身份验证模块启用速率限制。默认情况下，这会将攻击者限制为每30秒不超过3次登录尝试”。



再次，看看哪个对您更重要-方便还是安全。没有一个正确的答案，这完全取决于您的偏好。如果回答y，系统将在30秒内最多允许3次登录尝试。







接下来，您需要做的是在身份验证器应用程序中单击+，







然后在终端中扫描建议的二维码，然后需要设置备份的安全密码，该密码至少应包含6个字符。当然，所有添加到应用程序的帐户都将保存在云中。

用您喜欢的任何名称保存您的帐户







注意！请记住写下紧急代码。在我们的情况下，这些是：

您的紧急暂存代码是：

13455461

88816366

91315051

48752467

40022285

root@alexhost:~# nano /etc/pam.d/sshd

在文件的末尾，您将需要添加“ auth required pam_google_authenticator.so”。

保存文件Ctrl + O，然后按Enter。

同时按Ctrl + X退出编辑

器。顺便说一句，您可以轻松地使用其他文本编辑器。你并不需要使用纳米可言







接下来要做的事：



“根@ alexhost：〜＃纳米的/ etc / SSH / sshd_config中”取代“ChallengeResponse验证无”与“ChallengeResponse验证是”

一定要加“AuthenticationMethods键盘交互” 在文件的结尾

新闻Ctrl + O并保存文件，然后按Enter

退出编辑器Ctrl + X







在最后一个步骤中，您将需要重新启动ssh服务：

root@alexhost:~# systemctl restart sshd

我们连接。系统首先要求输入密码，然后要求输入两个密码







，仅此而已-恭喜，设置成功完成！

---

一点广告

1.5 GB RAM / 1 Core / 10GB SSD磁盘-每月4欧元或每年11.88欧元！

4GB RAM / 2核/ 40GB SSD磁盘-每月10欧元或每年60欧元！

8GB RAM / 4核/ 80GB SSD磁盘-每月16欧元或每年144欧元！

这里-AlexHost.com