MODOP – Connexion SSH via Google Authenticator (MFA)

Inventaire

• Machine : rocky01
• OS : Rockylinux 8
• IP : 192.168.1.148

Prérequis

Mise à jour de la machine

[root@rocky01 ~]# dnf upgrade –y

Désactiver SELinux

[root@rocky01 ~]# setenforce 0
[root@rocky01 ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config

Set TIMEDATE

[root@rocky01 ~]# timedatectl set-timezone Europe/Paris
[root@rocky01 ~]# timedatectl

Ajout User

[root@rocky01 ~]# adduser google_auth
[root@rocky01 ~]# passwd google_auth

Paquets nécessaires

[root@rocky01 ~]# dnf install  qrencode –y
[root@rocky01 ~]# dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

Installation google-authenticator

[root@rocky01 ~]# dnf install google-authenticator –y

Génération QR code d’affiliation compte « google-authenticator »

[root@rocky01 ~]# su - google_auth
[google_auth@rocky01 ~]$ ssh-keygen

[google_auth@rocky01 ~]$ google-authenticator

Application APP google-authenticator

Installer sur votre mobile l’application « Authenticator » de google

« Ajouter un code »

« Scanner un code QR »

Affiliation Machine ⬄ App google-authenticator

Scanner le QR code afficher sur l’écran de votre terminal sur google authenticator
Saisir le code affiché sur l’application, ici 658742 , dans votre terminal
Enter code from app (-1 to skip): 658742

Continuer l’installation

Correction messages BUGS

[root@rocky01 ~]# su - google_auth
[google_auth@rocky01 ~]$ mv .google_authenticator .ssh/
[google_auth@rocky01 ~]$ chmod 400 ./ssh/.google_authenticator
[google_auth@rocky01 ~]$ ls -al .ssh/

Configuration de l’identification pamd via SSH

[root@rocky01 ~]# vi /etc/pam.d/sshd

Ajouter la ligne suivante

# Connexion Google-authentication
auth required pam_google_authenticator.so secret=/home/${USER}/.ssh/.google_authenticator

Activation « Challenge authentification » dans sshd

[root@rocky01 ~]# vi /etc/ssh/sshd_config

« Avant »

« Après »

Redémarrage du service SSH

[root@rocky01 ~]# systemctl restart sshd
[root@rocky01 ~]# systemctl status sshd

Check connexion SSH avec 2FA

Connexion client

Connexion Putty – HostName « rocky01 »

Login User « google_auth »

• Saisir en Premier le mot de passe du compte « google_auth »

• Saisir le code généré sur l’application « google authentificator »

Connecté sur une session via 2FA

Coté Serveur

Views: 12