Vous êtes ici

Activer la double authentification sur SSH avec Google Authentificator

Nous allons voir dans cet article comment mettre en place une double authentification sur SSH avec Google Authentifcator. Le principe est simple, un token est généré automatiquement en fonction du temps sur votre serveur et sur l'application mobile Google Authentificator. Pour vous authentifier vous devez donc dans un premier temps fournir le code généré par l'application mobile à votre serveur puis, utiliser votre code ou clé ssh classique.

 

 

Sur le téléphone : il faut installer Google Authentificator depuis votre store android ou apple

 

Sur votre serveur :

 

1) en root : su

 

- Install de la libraire PAM google autentificator : apt-get install libpam-google-authenticator

 

- Spécifier à PAM d'utiliser ce module pour le daemon SSH : vi /etc/pam.d/sshd

 

Ajouter au début du fichier : auth required pam_google_authenticator.so (c'est important de le mettre en début de fichier, sinon, le module pourrai ne pas être prioritaire)

 

- Modifier votre configuration ssh : vi /etc/ssh/sshd_config

 

Il faut mettre à yes le paramètre ChallengeResponseAuthentication : ChallengeResponseAuthentication yes

 

- Redémarrer le service ssh : /etc/init.d/ssh restart

 

2) en user : (et plus particulièrement, sur l'utilisateur que vous utilisez pour vous connecter en SSH sur votre serveur)

 

Exécuter la commande : google-authenticator . A ce moment répondre aux différentes questions puis flasher le QR code avec l'application mobile Google Authentificator, ou manuellement inscrire les codes indiqués.

 

 

Maintenant au moment de l'établissement de la connexion SSH, un code de verification vous sera demandé (il vous sera indiqué sur votre application mobile) et ensuite votre mot de passe ou clé ssh classique.

 

 

 

Tags: 

www.le-gas.fr : Le guide de l'admin Systeme