Защищаем SSH: добавляем двухфакторную аутентификацию за 10 минут 🔐

SSH — главная дверь к серверу. И её постоянно долбят боты. Пароли подбирают за минуты, ключи могут украсть с рабочего компьютера. Даже сильный пароль уже не гарантия.

Что делать? Добавить второй фактор. Даже если злоумышленник узнает пароль или получит ключ, без одноразового кода из телефона он не войдёт.

Настроим Google Authenticator для SSH. Всё просто и бесплатно.

Что делаем:

1. Устанавливаем модуль PAM. Для Ubuntu/Debian: sudo apt install libpam-google-authenticator
2. Редактируем /etc/pam.d/sshd. Добавляем строку: auth required pam_google_authenticator.so
3. В /etc/ssh/sshd_config включаем: ChallengeResponseAuthentication yes и UsePAM yes. Для связки ключ + код добавляем: AuthenticationMethods publickey,keyboard-interactive
4. Перезапускаем SSH: sudo systemctl restart sshd
5. Каждый пользователь запускает google-authenticator. Отвечаем на вопросы, сканируем QR-код в приложении (Google Authenticator, Authy, Яндекс.Ключ). Сохраняем резервные коды — они спасут, если потеряете телефон.
6. Проверяем вход. Теперь после ключа (или пароля) система запросит Verification code.

Важно: если на сервере сбито время, коды не сойдутся. Настройте NTP.

Резервные коды храните в надёжном месте. И не закрывайте текущую сессию до проверки, чтобы случайно не заблокировать себе доступ.

📖 Полная инструкция со скриншотами и нюансами: andko.ru/two-factor-authentication-ssh/

#ssh #2fa #безопасность #linux #googleauthenticator #администрирование