Informações secretas? Use 2FA para VPS / VDS

imagem



A pergunta frequente é como proteger de forma confiável seu VPS / servidor dedicado contra hackers. Então, decidi escrever um tutorial sobre como implementar a autenticação de dois fatores.



2FA é o segundo nível de proteção de dados, graças ao qual você pode acessar sua conta somente depois de confirmar sua identidade. Agora, mesmo que um invasor saiba o nome de usuário e a senha, graças à autenticação de dois fatores, ele não será capaz de acessar seu servidor.



A presença de autenticação de dois fatores reduz a probabilidade de invasores acessarem a conta a quase zero, garantindo a segurança dos dados do usuário.



Se você ainda está convencido de que, ao criar uma senha complexa, terá a garantia de proteger seu servidor contra hackers e todos os dados pessoais contra roubo, você está profundamente enganado. Hoje, os hackers usam um grande número de maneiras de aplicar força bruta rapidamente até mesmo nas senhas mais complexas, portanto, a autenticação de dois fatores é a medida de segurança mais importante que não deve ser negligenciada.



imagem



Pegamos o telefone e configuramos o aplicativo autenticador. Isso é bastante fácil. Diferentes programas podem ser usados, mas eu recomendo Twilio Authy 2-Factor Authentication.



Você pode baixá-lo neste link:https://play.google.com/store/apps/details?id=com.authy.authy&hl=ru .



O site oficial do programa: authy.com



A vantagem do Twilio Authy 2-Factor Authentication é a capacidade de trabalhar em vários dispositivos simultaneamente, mesmo em um desktop ou laptop. O Google Authenticator não tem essa opção. Se você perder seu smartphone repentinamente, salvará todos os seus dados para acessar as contas.



Instale o aplicativo do Google Play e inicie-o. O sistema solicitará que você digite o código do país e o número do telefone. Certifique-se de incluir o número de telefone ao qual você tem acesso. Além disso, não se esqueça de inserir seu e-mail.



imagem



A próxima etapa é a confirmação. Escolha o método mais conveniente para você - receber uma mensagem SMS ou atender uma chamada.



O pacote do autenticador precisará ser instalado no sistema. Isso é feito da seguinte maneira:

Para Debian 9/10:



root@alexhost:~# apt install libpam-google-authenticator - y


Para CentOS , em primeiro lugar, você precisará conectar o repositório epel:



root@alexhost:~# yum install epel-release


Só então o pacote pode ser instalado:



root@alexhost:~# yum install google-authenticator


Na próxima etapa, execute:



root@alexhost:~# google-authenticator


O sistema fará a pergunta: Deseja que os tokens de autenticação sejam baseados em tempo (s / n . Responda y , porque esta opção é a mais confiável.



imagem



Para a pergunta “Deseja que eu atualize seu arquivo" /root/.google_authenticator "? ( y / n) "nós respondemos y .



Para a pergunta " Deseja proibir vários usos do mesmo token de autenticação? Isso restringe você a um login a cada 30 segundos, mas aumenta suas chances de notar ou até mesmo evitar man-in-the- ataques intermediários (s / n) ”, respondemos dependendo do quanto você se preocupa com a segurança e está disposto a sacrificar a conveniência por ela.



O fato é que você pode fazer login usando um autenticador no máximo uma vez a cada 30 segundos. Não é muito conveniente, mas definitivamente mais seguro.



Então temos outra pergunta:“Por padrão, um novo token é gerado a cada 30 segundos pelo aplicativo móvel. Para compensar o possível desvio de tempo entre o cliente e o servidor, permitimos um token extra antes e depois do horário atual. Isso permite um desvio de tempo de até 30 segundos entre o servidor de autenticação e o cliente. Se tiver problemas com a sincronização de tempo ruim, você pode aumentar a janela de seu tamanho padrão de 3 códigos permitidos (um código anterior, o código atual, o próximo código) para 17 códigos permitidos (os 8 códigos anteriores, o código atual e os 8 próximos códigos). Isso permitirá um desvio de tempo de até 4 minutos entre o cliente e o servidor. Você quer fazer isso? (y / n)” resposta y



seguinte questão:“Se o computador no qual você está se conectando não está protegido contra tentativas de login de força bruta, você pode ativar a limitação de taxa para o módulo de autenticação. Por padrão, isso limita os invasores a não mais do que 3 tentativas de login a cada 30s ” .



Novamente, veja o que é mais importante para você - conveniência ou segurança. Não existe uma única resposta correta, tudo depende da sua preferência. Se você responder y, o sistema permitirá um máximo de 3 tentativas de login em 30 segundos.



imagem



A próxima coisa que você precisa fazer é clicar em + no aplicativo autenticador e escanear o código qr sugerido no terminal.Em



imagem



seguida, você precisa definir uma senha de segurança para backups, que consistirá de pelo menos 6 caracteres. Claro, todas as contas adicionadas ao aplicativo são salvas na nuvem.

Salve sua conta com o nome que você quiser



imagem



Atenção! Lembre-se de anotar os códigos de emergência. Em nosso caso, são:

Seus códigos de emergência de emergência são:

13455461

88816366

91315051

48752467

40022285




root@alexhost:~# nano /etc/pam.d/sshd


No final do arquivo, você precisará adicionar “auth required pam_google_authenticator.so”

Salve o arquivo Ctrl + O e pressione Enter

Saia do editor pressionando Ctrl + X simultaneamente.

A propósito, você pode usar outro editor de texto sem problemas. Você não precisa usar nano em tudo



imagem



A próxima coisa a fazer:



“root @ alexhost: ~ # nano / etc / ssh / sshd_config” substituir “ChallengeResponseAuthentication não” com “sim ChallengeResponseAuthentication”

Certifique-se de adicionar “AuthenticationMethods teclado interativo” no final do arquivo de

Imprensa Ctrl + O, salve o arquivo e

pressione Enter. Saia do editor Ctrl + X



imagem



Em uma das últimas etapas, você precisará reiniciar o serviço ssh:



root@alexhost:~# systemctl restart sshd


Nós nos conectamos. O sistema primeiro pede uma senha, depois uma chave de dois fatores.



imagem



Isso é tudo - parabéns, a configuração foi concluída com sucesso!




Um pouco de publicidade



1,5 GB de RAM / 1 núcleo / disco SSD de 10 GB - 4 € / mês ou 11,88 € por ano!

4 GB de RAM / 2 núcleos / disco SSD de 40 GB - 10 € / mês ou 60 € por ano!

8 GB de RAM / 4 núcleos / disco SSD de 80 GB - a partir de 16 € / mês ou 144 € por ano!

AQUI - AlexHost.com




All Articles