Двухфакторная аутентификация для SSH

Опубликовано

Установка пакета

apt install -y openssh-server libpam-google-authenticator

Правка конфига PAM

В файл /etc/pam.d/common-auth необходимо добавить следующее:

auth required pam_google_authenticator.so

Правка конфига ssh

В файл /etc/ssh/sshd_config необходимо добавить следующее:

ChallengeResponseAuthentication yes

Конфигурация аутентификации

Следующая команда сконфигурирует TOTP. Запускать команду следует от имени того пользователя, к которому будет инициализированно подключение.

google-authenticator

Управление факторами (необязательно)

Для запроса ключа при аутентификации необходимо в файл /etc/ssh/sshd_config добавить следующее:

AuthenticationMethods publickey,password publickey,keyboard-interactive

Для отключения запроса пароля при аутентификации необходимо в файле /etc/pam.d/sshd закомментировать следующюю строку:

# @include common-auth

Перезапуск сервиса ssh

systemctl restart ssh