Root kullanıcısı için iki faktörlü kimlik doğrulama ayarını yapmak için Google Authenticator kullanacağız. Bu uygulama tüm platformlarda mevcuttur ve zamana bağlı olarak çalışır. Böylece, Google hizmetlerine erişim imkansız olsa bile, cihazınızın saati doğru ayarlıysa doğrulama sorunsuz çalışır.
Bu örnekte, normal kullanıcılar SSH'ye yalnızca şifre ile erişirken, root yetkilerini su - komutu ile yükseltmek istediklerinde önce şifre, ardından Google Authenticator uygulamasındaki kodu girmeleri gerekecek.
Ayrıca root kullanıcısının doğrudan SSH ile giriş yapmasını yasaklayacağız, böylece bu kullanıcı için iki faktörlü kimlik doğrulamayı zorunlu hale getireceğiz.
1. Gerekli paketleri kurun:
apt install libpam-google-authenticator
2. İlk ayarları yapın:
./google-authenticator
2.1 Uygulamada çıkan kodu girmeniz istenecektir. Alternatif olarak Google uygulaması yerine FreeOTP uygulamasını da kullanabilirsiniz.
2.2 SSH hizmetini yapılandırın:
nano /etc/ssh/sshd_config
PermitRootLogin no
UsePAM yes
ChallengeResponseAuthentication yes
Ayarların etkinleşmesi için SSH hizmetini yeniden başlatın:
systemctl restart ssh
2.3 su - komutunda parola girdikten sonra kodu sormasını ayarlayın:
Dosyaya aşağıdaki satırları ekleyin:
nano /etc/pam.d/su
...
auth sufficient pam_rootok.so
...
auth required pam_unix.so no_warn try_first_pass
auth required pam_google_authenticator.so
...
3. Tamamlandı. Şimdi normal bir kullanıcı olarak giriş yapıp su - komutu ile root yetkilerini almak istediğinizde, paroladan sonra uygulamadaki kod istenecektir.
Ek Not:
3.1 SSH ile girişte de kod istenmesini istiyorsanız, şu satırları dosyaya ekleyin:
nano /etc/pam.d/sshd
...
@include common-auth
...
auth required pam_unix.so no_warn try_first_pass
auth required pam_google_authenticator.so
...
Root kullanıcısı için giriş izni vermek istiyorsanız SSH ayarlarında bu izni etkinleştirin. Diğer bir kullanıcı için aynı adımları uygulamak isterseniz, o kullanıcı altında şu komutu çalıştırın:
./google-authenticator
Root için anlattığımız gibi benzer şekilde yapılandırın.