展開の足がかりSSH + Google認証システム検証
更新し、関連するパッケージをインストール
APT- 更新取得 のapt -get インストール libpamによる検索-グーグル-オーセンティケータを
vimの/etc/pam.d/のSSHDの #PAM設定のためのセキュアシェルサービス AUTH [成功 = 行なわ new_authtok_reqd = 行なわデフォルト= pam_google_authenticator.so死ぬ] #標準のUn * X認証を。 共通@include - AUTH #非禁止に/ etc /とき-rootログインをnologinには存在します。 アカウントがpam_nologin.so必要 #コメントを解除し、編集 /etc/security/access.conf 場合は、複雑な設定する必要が 表現するのは難しいです。#アクセス制限にsshd_configファイルを。 #アカウント必要pam_access.so #標準のUn * X承認。 @include共通 - 口座 #SELinuxは最初のセッションルールにする必要があります。これは、任意のことを保証します 。#長引くコンテキストがクリアされています。これがなければ可能性がある #モジュールは、コードを実行する可能性に間違ったドメイン。 セッション[成功 = OK無視=は=デフォルトを無視module_unknown =を無視悪い] pam_selinux.so近い 位loginuidプロセス属性を設定します。 pam_loginuid.so必要なセッション 新しいセッションキーリングを作成します。#。 セッションオプションのpam_keyinit.so力を取り消す #標準のUn * Xセッションのセットアップとティアダウンを。 共通@include- セッション #が成功した時にその日のメッセージを印刷し、ログイン。 #これはから動的に生成された部分が含ま /実行/ motd.dynamic #および静的(管理者は/ etc /から-editable)一部MOTDを。 セッションオプションのpam_motd.soのMOTD = /実行/ motd.dynamic NOUPDATE セッションオプションのpam_motd.so番号[ 1 ] #を印刷するユーザの状況「ログイン成功時にメールボックス。 セッションオプションのpam_mail.so標準noenv番号[ 1 ] 位からユーザー制限の設定は/ etc /セキュリティ/ limits.confをします。 セッション必要pam_limits.so #読むの環境変数は/ etc / 環境や #の/ etc /セキュリティ/ pam_env.conf。 #[pam_env.so必要セッション1 ] Debianに#4.0(エッチ)、ロケール関連の環境変数をに移動された #は、/ etc / default / ロケール、その結果も同様に読み取ります。 セッションに必要なpam_env.so user_readenv = 1 ENVFILE =は、/ etc / default / ロケール #SELinuxはで介入する必要がある、ログイン 時間プロセスが開始されることを保証するために #をして、適切なデフォルトのセキュリティコンテキスト。セッションのみこれ意図されている 実行するために#でユーザー" のコンテキストが、この後に実行されなければなりません。 セッション[成功= OK無視=は=デフォルトを無視module_unknown =を無視悪い] pam_selinux.soオープン #標準のUn * Xのパスワード更新。 @include共通 -password
vimのは/ etc / sshを / sshd_configファイル #パッケージは、コンフィギュレーション、生成ファイル #がsshd_configファイルが(参照5)マニュアルページについての詳細 私たちは耳を傾け#どのポート、IPアドレスやプロトコルのための ポート22の #は制限するこれらのオプションを使用したインタフェース/ にバインドするプロトコルのsshd #ListenAddress :: #ListenAddress 0.0。0.0 プロトコル2 #HostKeys ためのプロトコルバージョン2 HostKey(ホスト鍵)の/ etc / SSH / ssh_host_rsa_key HostKey(ホスト鍵)の/ etc /SSH / ssh_host_dsa_keyに HostKey(ホスト鍵)の/ etc / sshを / ssh_host_ecdsa_key HostKey(ホスト鍵)の/ etc / sshを / ssh_host_ed25519_key #Privilege分離がオンになっているため、セキュリティ のUsePrivilegeSeparationはい はかないバージョンの#寿命とサイズ1台のサーバーキー KeyRegenerationIntervalに3600 ServerKeyBitsに1024 ログ# SyslogFacilityにAUTH のLogLevel INFO #認証: LoginGraceTime 120 のPermitRootLoginなし - パスワード StrictModesをはい はいRSAAuthentication PubkeyAuthenticationはい #AuthorizedKeysFileの %の時間/。SSH / authorized_keysに #ドン「tは、ユーザーの読み取り」の〜/ .rhostsファイルと〜/ .shostsファイルを はいIgnoreRhostsを 、これが機能するには#あなたはまた、ホスト鍵が必要になりますには/ etc / たssh_known_hosts RhostsRSAAuthentication(RhostsRSA認証の許可)がノー #同様のためのプロトコルバージョン2 なしでHostbasedAuthentication #コメントを解除もしあなたドン" RhostsRSAAuthentication(RhostsRSA認証の許可)のt信頼の〜/ .ssh / known_hostsに #IgnoreUserKnownHostsはい はい(推奨されません)に変更し、空のパスワードを有効にしないように# PermitEmptyPasswords何の 挑戦を有効にするには、yesに#変更を - レスポンスのパスワードを(の問題用心 #いくつかのPAMモジュールやスレッドを) 何#ChallengeResponseAuthentication なしに#変更がトンネリングしディセーブルに明確なテキストをパスワード PasswordAuthenticationを何 #ケルベロスオプションは 何の#KerberosAuthenticationない 何#KerberosGetAFSTokenを #KerberosOrLocalPasswdはい はい#KerberosTicketCleanup #のGSSAPIオプションは 何の#GSSAPIAuthenticationない #GSSAPICleanupCredentialsをはい はいX11Forwarding X11DisplayOffset 10 PrintMotdなし PrintLastLogはい TCPKEEPALIVEはい #UseLoginいいえ #MaxStartups 10:30:60 #Bannerの/ etc / issue.net #クライアントは、ロケール環境変数合格することを許可する AcceptEnv LANG LC_ * サブシステムSFTPの/ usr / libに/のopenssh / sftp- サーバ #はに設定しますが「はい」PAM認証、課金処理、有効にする #とセッション処理を。これが有効になっている場合は、PAM認証がされます #ChallengeResponseAuthenticationのと通過を許可する #のPasswordAuthenticationを。あなたのPAMの構成に応じて、 ChallengeResponseAuthenticationの経由#のPAM認証をバイパスすることが #の設定を「なしパスワードのPermitRootLoginを」。 #あなただけのPAMのアカウントとセッションチェックをせずに実行したい場合は 、#のPAM認証後、これを有効にしても設定したPasswordAuthenticationの #とChallengeResponseAuthenticationのに「ノー」。 はいUsePAM UseDNSいいえ PasswordAuthenticationをなし ChallengeResponseAuthenticationのはい AuthenticationMethodsの公開鍵、キーボード - インタラクティブ マッチ・ユーザー・ルート#は無視する2 - 要因 AuthenticationMethodsの公開
/etc/init.d/のSSHの再起動