Vai al contenuto principale

Dedicated Server: Autenticazione SSH a due fattori

Questa guida è stata creata con i seguenti prodotti:

(I dettagli possono variare con prodotti di fornitori diversi ma i concetti principali rimangono gli stessi)

server dedicato

Introduzione

Il servizio di autenticazione a due fattori (2FA) SSH di Google, chiamato Google Authenticator SSH, aumenta la sicurezza dell’accesso SSH (Secure Shell) aggiungendo un secondo livello di autenticazione. Anche se SSH fornisce già un metodo sicuro per stabilire una connessione criptata a un server remoto, l’integrazione della 2FA alza il livello di sicurezza richiedendo agli utenti di inserire non solo la password, ma anche un codice di verifica monouso generato da Google Authenticator. In questa guida vedremo come installare e configurare il servizio Google Authenticator SSH su un server Linux.

Installazione

Per prima cosa devi installare Google Authenticator sul tuo VPS Linux. Esegui questo comando:

sudo apt install libpam-google-authenticator

Ti verrà chiesto di digitare "Y" per installare il pacchetto, digita e premi Invio, così Google Authenticator verrà installato!

Avvia Google Authenticator digitando google-authenticator. Assicurati che la finestra sia abbastanza grande per visualizzare il QR Code, altrimenti premi "CTRL+C" e rilancialo.

Ti verrà chiesto di confermare l’esecuzione, digita "Y" per accettare. Ora vedrai un QR Code. Apri l’app Authenticator sul tuo smartphone e scansiona il QR Code. Per questo esempio usiamo Google Authenticator:

Assicurati di copiare i codici di backup, ognuno può essere usato una volta nel caso perdessi l’accesso all’autenticatore.

L’app ti mostrerà già i codici necessari per il login. In questo caso appare così:

Ora ti verranno poste queste domande:

  1. Vuoi salvare la configurazione di Google Authenticator?
  2. Vuoi permettere un solo login ogni 30 secondi?
  3. Vuoi aumentare il tempo in cui un codice è valido?
  4. Vuoi limitare a tre login ogni 30 secondi? (Protezione contro Brute Force)

Per motivi di sicurezza ti consigliamo di rispondere Yes a tutte.

Configurazione

Ora dobbiamo configurare Google Authenticator per farlo funzionare. Servono due modifiche.

/etc/ssh/sshd_config

Attiva i moduli necessari nel file /etc/ssh/sshd_config. Apri il file con:

sudo nano /etc/ssh/sshd_config

Sei ora in un editor di testo. Usa le frecce per muoverti, cancella o modifica il testo liberamente. Per salvare premi 'CTRL + X', poi 'Y' e infine 'Invio'.

Assicurati che le righe UsePAM e ChallengeResponseAuthentication siano impostate su yes, così:

Salva il file con 'CTRL + X', poi 'Y' e 'Invio'. Riavvia SSH con:

sudo systemctl restart ssh

/etc/pam.d/sshd

Ora aggiungiamo Google Authenticator al login modificando /etc/pam.d/sshd. Apri il file con:

sudo nano /etc/pam.d/sshd

Scorri fino in fondo e aggiungi questa riga:

auth required pam_google_authenticator.so

Salva con 'CTRL + X', poi 'Y' e 'Invio'.

Test accesso

È il momento di fare il primo login con 2FA. Dopo aver seguito i passaggi sopra, ti basta riavviare la connessione SSH.

Inserisci la password come al solito. Ti verrà chiesto un codice, inserisci semplicemente il codice 2FA attuale.

Ecco fatto, sei dentro!

Conclusione

Congratulazioni, hai configurato con successo la 2FA per il tuo accesso SSH. Per qualsiasi domanda o supporto, il nostro team è sempre disponibile ogni giorno per aiutarti! 🙂

Impostazioni cookie