Установка Authy и настройка двухфакторной аутентификации SSH
Linux, VPS | Комментировать запись
Использование двухфакторной аутентификации позволяет повысить уровень безопасности сервера, поскольку для входа требуется не только пароль или SSH ключ, но и сгенерированный телефоном токен (token, или ключ – устройство безопасного удаленного доступа к информации). Облачный сервер, защищенный двухфакторной аутнтификацией, будет оставаться в безопасности даже в случае взлома паролей или случайного разглашения закрытых ключей.
Authy – это передовая платформа аутентификации для масштабных проектов, совместимая не только с популярными приложениями (как Google и Dropbox), но и с любым VPS. Данная платформа невероятно проста в установке и использовании; несмотря на то, что этот сервис является коммерческим, Authy предоставляет каждому пользователю 1000 бесплатных логинов в месяц.
Требования
- Предварительно настроенный облачный сервер с поддержкой SSH.
- Мобильное устройство iOS или Android.
Установка Authy на телефон
Загрузите приложение Authy по ссылке:
Откройте приложение и следуйте простым инструкциям (которые также включают в себя проверку номера телефона). Теперь телефон можно использовать в качестве токена.
Настройка учетной записи разработчика
На данном этапе нужно пройти еще одну регистрацию (теперь как разработчик), чтобы связать VPS с приложением Authy, установленным на мобильное устройство.
Для этого откройте эту страницу регистрации и введите свой электронный адрес, страну, номер телефона и пароль.
Обратите внимание: номер мобильного телефона должен совпадать с введенным ранее номером.
Получив сообщение от приложения Authy, перейдите по указанной в нем ссылке, после чего будет предложено пройти авторизацию. После этого телефон будет автоматически настроен в качестве токена для доступа к этой учетной записи. Чтобы получить пароль для входа, откройте на телефоне приложение Authy.
Обратите внимание: срок действия токена ограничен; по истечении указанного под паролем срока токен становится недействительным.
Создание приложения
Открыв панель инструментов, нажмите Create new application, введите удобное для вас имя облачного сервера и кликните на Create.
Через несколько секунд откроется новое приложение. Наведите курсор мыши на значок висячего замка в строке API key и скопируйте ключ в безопасную точку системы – скоро он снова понадобится.
Установка authy-ssh
Для начала установите SSH-соединение с сервером.
ssh root@your.hostname.tld
Загрузите инсталлятор, а затем запустите его, чтобы установить исполняемые файлы в /usr/local/bin:
curl "https://raw.github.com/authy/authy-ssh/master/authy-ssh" -o authy-ssh-installer
sudo bash authy-ssh-installer install /usr/local/bin
В командной строке введите скопированный ранее ключ (API key). При этом будет предложено выбрать, что делать, если приложение Authy отключено (рекомендуется выбрать вариант 1).
Настройка двухфакторной аутентификации пользователя
Просто запустите следующие команды, заменив:
- whoami – именем пользователя, для которого необходимо настроить двухфакторную аутентификацию;
- email и number – адресом электронной почты и номером мобильного телефона учетной записи Authy;
- country – кодом страны, который содержится в номере телефона.
sudo /usr/local/bin/authy-ssh enable <whoami> email country number
Понадобится подтверждение операции; для этого нажмите у. Готово!
Тестирование двухфакторной аутентификации
Перезапустите SSH-сервер, чтобы активировать все изменения.
Ubuntu:
sudo service ssh restart
Debian:
sudo /etc/init.d/sshd restart
CentOS:
sudo service sshd restart
Теперь попробуйте снова подключиться к серверу по SSH; при этом будет запрошен Authy Token. Откройте приложение на телефоне и введите полученный код.
Удаление двухфакторной аутентификации
При удалении authy-ssh крайне необходимо быть внимательным, иначе вы можете потерять доступ к VPS. Для этого нужно выполнить всего две команды:
Запустите инсталлятор в режиме uninstall:
chmod
+x authy-ssh-installer
./authy-ssh-installer uninstall
Перезапустите сервер SSH:
Ubuntu:
sudo service ssh restart
Debian:
sudo /etc/init.d/sshd restart
CentOS:
sudo service sshd restart
