Old Sessam
Hello
- Joined
- Aug 5, 2009
- Messages
- 445
- Reaction score
- 56
Witajcie z moim pierwszym poradniku!
Ka?dy wie jak wa?ne jest bezpiecze?stwo swojego serwera. Dlatego warto wprowadzi? weryfikacje dwuetapow? do swojego serwera dedykowanego.
Co to takiego jest ta weryfikacja dwuetapowa?:
Co ma google do naszego serwera? W?a?nie takiej samej weryfikacji dwuetapowej u?yjemy jak? u?ywa Google!
Wi?c dzi?ki weryfikacji dwuetapowej mo?esz powstrzyma? intruz?w, nawet je?li przechwyc? Twoje has?o do konta root lub innego usera serwera.
Wpisujemy sw?j login np: root, nastepnie serwer poprosi nas o KOD kt?ry generowany jest losowo co 30 sekund na naszym telefonie (musimy go przepisa? do konsoli ssh). Je?eli kod jest poprawny mo?emy wpisa? has?o do konta root i zostaniemy zalogowani!
Instalacja
Logujemy si? na konto root swojego serwera nast?pnie:
Dodajemy tam
Zapisujemy plik i piszemy
Szukamy
i zamieniamy na
Gdy zrobili?my wszystko poprawnie i uruchomili?my pierwszy raz google-authenticator zada nam on pare pyta?, ja odpowiedzia?em wszystko "y" bo mi to odpowiada?o Mo?ecie te? tak zrobi?. Na koniec wygeneruje nam co? takiego:
Teraz ?ci?gamy na telefon aplikacje. W moim przypadku mam IOS wi?c pobieram j? z Apple Store, jest te? na systemy Android ( ):
Nast?pnie klikamy w "Zeskanuj kod paskowy"
I skanujemy QR kod kt?ry nam wygenerowa? program (2 linika kodu, patrz wy?ej. Kod jest pod tym linkiem:
Poradnik by Old Sessam i zabraniam kopiowania go.
takiej komendy u?yjemy jezeli nazwa usera to serwer, je?eli nazwa jest inna piszemy
gdy nazwa_usera zamieniamy na nazwe u?ytkownika.
je?eli nie mamy ?adnego innego usera pr?cz root wpisujemy
po zalogowaniu si? na normalne konto poprzez su nazwa_konta wpisujemy
i wype?niamy na nowo formularz. Wygeneruje nam nowy QR kt?ry skanujemy apk? na telefonie. Teraz root i serwer maj? dwa osobne klucze kt?re s? generowane losowo przez serwery Googla. Robimy tak z reszt? kont kt?re b?d? logowane do naszego serwera przez SSH.
Ka?dy wie jak wa?ne jest bezpiecze?stwo swojego serwera. Dlatego warto wprowadzi? weryfikacje dwuetapow? do swojego serwera dedykowanego.
Co to takiego jest ta weryfikacja dwuetapowa?:
Co ma google do naszego serwera? W?a?nie takiej samej weryfikacji dwuetapowej u?yjemy jak? u?ywa Google!
Jak to dzia?a?
Wi?c dzi?ki weryfikacji dwuetapowej mo?esz powstrzyma? intruz?w, nawet je?li przechwyc? Twoje has?o do konta root lub innego usera serwera.
Wpisujemy sw?j login np: root, nastepnie serwer poprosi nas o KOD kt?ry generowany jest losowo co 30 sekund na naszym telefonie (musimy go przepisa? do konsoli ssh). Je?eli kod jest poprawny mo?emy wpisa? has?o do konta root i zostaniemy zalogowani!
Instalacja
Logujemy si? na konto root swojego serwera nast?pnie:
Code:
cd /root
Code:
apt-get update
Code:
apt-get upgrade
Code:
apt-get install libpam0g-dev make wget
Code:
cd /root
Code:
wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2
Code:
tar -xvf libpam-google-authenticator-1.0-source.tar.bz2
Code:
cd libpam-google-authenticator-1.0
Code:
make
Code:
make install
Code:
nano /etc/pam.d/sshd
Dodajemy tam
Code:
auth required pam_google_authenticator.so
Code:
nano /etc/ssh/sshd_config
Code:
ChallengeResponseAuthentication no
Code:
ChallengeResponseAuthentication yes
Code:
/etc/init.d/ssh restart
Konfiguracja
Code:
google-authenticator
Code:
Do you want authentication tokens to be time-based (y/n) y
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@twojhost%3Fsecret%3DTEST
Your new secret key is: SEKRETNY KLUCZ
Your verification code is KOD WERYFIKACYJNY
Your emergency scratch codes are:
123
456
789
123
123
423
Teraz ?ci?gamy na telefon aplikacje. W moim przypadku mam IOS wi?c pobieram j? z Apple Store, jest te? na systemy Android ( ):
Nast?pnie klikamy w "Zeskanuj kod paskowy"
I skanujemy QR kod kt?ry nam wygenerowa? program (2 linika kodu, patrz wy?ej. Kod jest pod tym linkiem:
Code:
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@twojhost%3Fsecret%3DTEST
Poradnik by Old Sessam i zabraniam kopiowania go.
AKTUALIZACJA PORADNIKA
Po zastosowaniu nowej metody autoryzacji nie zalogujemy si? ju? na inne stworzone konto!! (weryfikacja dzia?a teraz tylko na koncie root) jezeli chcemy aby autoryzacja zadzia?a?a na innym koncie ni? root tworzymy nowego usera i logujemy si? na niego:
Code:
su serwer
takiej komendy u?yjemy jezeli nazwa usera to serwer, je?eli nazwa jest inna piszemy
Code:
su nazwa_usera
gdy nazwa_usera zamieniamy na nazwe u?ytkownika.
je?eli nie mamy ?adnego innego usera pr?cz root wpisujemy
Code:
adduser serwer
po zalogowaniu si? na normalne konto poprzez su nazwa_konta wpisujemy
Code:
google-authenticator