linux/SSH/sshd_google_authenticator.adoc

PAM Google-Authenticator

Indice Generale

• 1. Modulo PAM Google-Authenticator
• 2. Installazione app per dispositivo mobile
• 3. Configurazione PAM per il demone SSH
• 4. Configurazione del demone sshd

Rif. PAM and Using Google Authenticator on Fedora

Operare con credenziali di root o come utente amministratore nel gruppo wheel.

1. Modulo PAM Google-Authenticator

Installazione modulo PAM

[user]$ sudo dnf install google-authenticator

2. Installazione app per dispositivo mobile

Installare Google Authenticator for Android oppure FreeOTP for iOS. NB: Google Authenticator è disponibile anche per iOS.

Le applicazioni comprendono una procedura guidata per la messa in opera.

3. Configurazione PAM per il demone SSH

In Fedora la configurazione PAM del demone SSH è definita nel file /etc/pam.d/sshd. Aprirlo con un editor di testi ed effettuare le seguenti modifiche.

Commentare il substack password-auth

# Commentare la riga
auth       substack     password-auth

Aggiungere la riga per GoogleAuthenticator

# Aggiungere in fondo alla sezione auth
auth       sufficient   pam_google_authenticator.so secret=~/.ssh/.google_authenticator

L’argomento secret serve su Fedora per consentire l’integrazione SELinux.

Il pacchetto RPM installa il file configurazione .google_authenticator nella directory home. Eventualmente, spostare il file in .ssh.

4. Configurazione del demone sshd

Operare con credenziali di root o come utente amministratore nel gruppo wheel.

Modificare il file /etc/ssh/sshd_config

# Disabilitare l'autenticazione con password (opzionale)
PasswordAuthentication no

# Abilita l'autenticazione PAM
ChallengeResponseAuthentication yes # enable pam based auth

# Aggiungere la seguente linea
AuthenticationMethods keyboard-interactive

# Oppure, meglio, la seguente
AuthenticationMethods publickey,keyboard-interactive

Riavviare il servizio sshd con il comando

[user]$ sudo systemctl restart sshd.service