Anleitung zur Aktivierung von Google Authenticator für Zwei-Faktor-Authentifizierung (2FA/MFA) in CentOS 7
Zwei-Faktor-Authentifizierung (2FA)
Die Zwei-Faktor-Authentifizierung (2FA) ist der Prozess, bei dem zwei separate Sätze von Anmeldedaten verwendet werden, um einen Benutzer während der Anmeldung zu authentifizieren. Manchmal werden mehr als 2 Anmeldedaten verwendet, was als Multi-Faktor-Authentifizierung (MFA) bezeichnet wird.
2FA kann effektiv vor Sicherheitsrisiken durch Passwortknacken, Passwortleckagen usw. schützen. Selbst wenn ein Angreifer das Passwort hat, gibt es nur einen Satz von Anmeldedaten, der die Zwei-Faktor-Authentifizierung nicht bestehen kann.
Im Allgemeinen besteht der erste Satz von Anmeldedaten für die 2FA aus dem bekannten Passwort, während der zweite Satz von Anmeldedaten ein Token-Code wie Google Authenticator oder eine SMS-Authentifizierung sein kann.
Der Google Authenticator-Authentifizierungscode ist im Wesentlichen eine Reihe von Zahlen, die auf einem Zeitstempel basieren und alle 30 Sekunden aktualisiert werden. Der offizielle Begriff lautet "zeitbasiertes einmaliges Passwortalgorithmus" (TOTP). Es erfordert keine Internetverbindung und kann jederzeit zur Authentifizierung verwendet werden.
Schritt 1: Installation von Google Authenticator
1. Fügen Sie zuerst die EPEL-Quelle hinzu:
shsudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
2. Installieren Sie nun Google Authenticator:
shsudo yum install google-authenticator
Schritt 2: Initialisierung von Google Authenticator
1. Starten Sie die Initialisierung:
shgoogle-authenticator
2. Es wird ein QR-Code angezeigt. Verwenden Sie jetzt Google Authenticator oder eine ähnliche Authentifikator-App, um den QR-Code zu scannen und ihn zu Ihrem Telefon hinzuzufügen.
3. Die App wird einige Fragen stellen. Geben Sie einfach durchgängig `y` ein und drücken Sie Enter.
Nachdem Sie diese Schritte abgeschlossen haben, ist Google Authenticator für die Zwei-Faktor-Authentifizierung auf Ihrem CentOS 7-System aktiviert. Sie werden nun bei der Anmeldung nach dem Token-Code gefragt, den Sie in der Google Authenticator-App sehen.
PAM-Authentifizierung
PAM (Pluggable Authentication Modules) ist eine erweiterbare Methode zur Authentifizierung in Linux-Systemen. Wenn Sie eine neue Authentifizierungsmethode hinzufügen müssen, fügen Sie einfach das entsprechende PAM-Modul hinzu.
Der zuvor installierte Google Authenticator ist ebenfalls ein PAM-Modul.
Lassen Sie uns nun die Google Authenticator-Authentifizierung in der PAM-Konfiguration aktivieren, die von sshd verwendet wird. Fügen Sie die folgende Zeile unterhalb der zweiten Zeile in der Datei `/etc/pam.d/sshd` hinzu:
shauth required pam_google_authenticator.so
Hinweis: Die Position dieser Zeile ist sehr wichtig. Die modifizierte Datei sollte so aussehen:
sh#%PAM-1.0auth required pam_sepermit.soauth required pam_google_authenticator.soauth substack password-auth
# andere Zeilen......
Als nächstes müssen Sie die Challenge-Authentifizierung in der sshd-Konfiguration aktivieren. Finden Sie die folgende Konfiguration in der Datei `/etc/ssh/sshd_config` und ändern Sie sie auf "yes":
shChallengeResponseAuthentication yes
Starten Sie den sshd-Dienst neu, um die sekundäre Authentifizierung zu verwenden:
shsystemctl restart sshd.service
Konfigurationsdatei
Die Google Authenticator-Konfigurationsdatei befindet sich in `/root/.google_authenticator`. Wenn Sie sie anzeigen möchten, können Sie den Befehl `cat /root/.google_authenticator` verwenden.
Die Konfigurationsdatei besteht aus 3 Teilen: Schlüssel + Konfiguration + Wiederherstellungscode.
Der Schlüssel bestimmt das Ergebnis des Tokens. Der gleiche Schlüssel erzeugt das gleiche Token. Wenn Sie möchten, dass mehrere Server das gleiche Token verwenden, können Sie ihre Schlüssel auf den gleichen Wert setzen.
Wiederherstellungs-Codes werden für die Notfallwiederherstellung verwendet, wenn der Authenticator verloren geht, und sollten sicher aufbewahrt werden.
Das sollte Ihnen helfen, Google Authenticator auf CentOS 7 erfolgreich einzurichten. Bei weiteren Fragen steht Ihnen CPS-Hosting gerne zur Verfügung!
