Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Activer l’authentification en 2 étapes pour votre serveur SSH

Je le pète et le répète assez souvent : Quand vous le pouvez, pensez à activer l’authentification en 2 étapes (2FA) sur vos sites web préférés.

Petit rappel pour les nouveaux dans le game, l’authentification en 2 étapes permet d’ajouter en plus du mot de passe (quelque chose que vous connaissez), un code généré par une application spécifique sur votre téléphone portable (quelque chose que vous possédez).

Ainsi, même si on vous dérobe votre mot de passe, il faudra en plus vous voler votre téléphone (et le mot de passe de celui-ci) afin de pouvoir s’authentifier à votre place sur un site web équipé de la double authentification.

Et si vous êtes vous-même l’heureux administrateur de serveurs, et bien, vous tombez bien, car aujourd’hui on va apprendre à activer l’authentification en 2 étapes pour vos connexions SSH.

Pour cela, connectez-vous sur votre serveur, et installez le paquet suivant :

sudo apt-get install libpam-google-authenticator

Puis lancez la commande :

google-authenticator

Première question, est-ce que vous voulez des codes basés sur le temps ? Répondez-oui, ça permet de générer des codes qui sont limités dans le temps.

Ensuite, Google Authenticator vous générera un gros QR Code qu’il faudra flasher avec l’application Authenticator (Pour iOS ici et pour Android ici).

Vous pouvez aussi y accéder via l’URL fournie dans le terminal.

Attention, C’EST TRÈS IMPORTANT : Vous aurez aussi une série de codes d’urgences générez que vous devez absolument conserver dans un coin. Cela vous permettra de vous connecter quand même à votre serveur même si votre téléphone vous a lâché ou que vous l’avez formaté.

Appuyez ensuite sur la touche « y » pour mettre à jour la config Google Authenticator.

L’outil vous posera ensuite 3 questions relatives à la configuration.

La première conserve l’utilisation multiple du même code. Niveau sécurité, je vous conseille de faire « y » pour désactiver cette possibilité. Cela vous protégera en cas d’attaques Mitm (man in the middle)

La 2e question concerne la durée de péremption des codes. Par défaut, un code est valide 1min30 après qu’il soit passé. Cela permet d’absorber les latences qu’elles soient réseau ou humaines (si vous tapez lentement )). Là on vous demande si vous voulez garder cette durée à 1 min 30 ou la passer à 4 min si vous éprouvez des difficultés. Je vous conseille de répondre « n » à cette question.

La troisième et dernière question permet d’activer une limite maximum de codes erronés. Ainsi, on évite les attaques de type bruteforce. Répondez « y » à cette question.

Ensuite, on va configurer ssh pour qu’il prenne en compte ce nouveau module. Pour cela, éditez le fichier

sudo nano /etc/pam.d/sshd

et ajoutez y la ligne :

auth required pam_google_authenticator.so

Puis éditez le fichier :

sudo nano /etc/ssh/sshd_config

Et mettez à « yes », la ligne :

ChallengeResponseAuthentication yes

Puis relancez ssh :

sudo /etc/init.d/ssh restart

Et voilà, maintenant faites un essai en lançant une nouvelle connexion SSH (une nouvelle, hein, ne quittez pas votre connexion en cours, car si vous avez merdé quelque part, vous ne pourrez plus vous connecter via SSH). Votre serveur va vous demander votre mot de passe, puis votre code généré par l’application installée sur votre smartphone.

J’espère que l’astuce vous aura plu !

Source




Réponses notables

  1. Très bon truc, c’est vrai que ce genre d’authentification est très pratique.
    En revanche, je pense que je passerai mon tour pour ce service, car bah… si j’ai bien compris, il y a des dépendances permanentes à Google. Et ça je suis pas très chaud :confused:

  2. Google te donne juste la clé privée et le support d’Authenticator. Donc au mieux ils peuvent connaitre le code en cours mais pas très utile seul !
    Les algo de types token sont prédictibles, du coup avec la clé tu peux prévoir le code que tu auras demain à une heure donné, pas besoin d’un accès à un service de Google. Tu peux dev ou récupérer une appli similaire à authenticator et générer ta propre clé, mais c’est se faire ch*** pour peu :slight_smile:

Continuer la discussion sur Korben Communauté

9 commentaires supplémentaires dans les réponses

Participants

6 outils pour cloner un disque dur sous Windows et Linux

Cloner c’est facile… Bon, ok, cloner un bébé, c’est déjà plus complexe mais un disque dur, c’est l’enfance de l’art… Alors bien sûr le logiciel le plus connu pour ça, est Ghost de Symantec mais au prix de 999,99 euros HT (j’déconne, je ne connais pas le prix en vrai), c’est déjà plus rentable de se mettre à cloner son petit frère artisanalement dans le garage …

Lire la suite



Générer du bruit de fond pour polluer les datas récoltées par les boites noires

Si vous voulez surcharger les boites noires utilisées par votre pays afin de tout savoir sur vous et ainsi mieux vous contrôler, voici Noisy.

Ce script python n’a d’autre but que je générer de fausses données sur le réseau afin de pourrir les éventuelles données récoltées sur vous.

Ce bruit de fond est constitué de requêtes DNS / HTTP(S) aléatoires et peut tourner aussi dans un Docker…

Lire la suite



Que faire quand on n’arrive pas à tomber sur le portail captif d’une borne wifi publique ?

Quand on se connecte à un réseau public wifi, il arrive parfois qu’on ait du mal à obtenir le fameux « portail captif »‘ où on nous demande en général notre adresse email, avant de nous laisser librement surfer. En effet, sur certaines bornes wifi, le truc est tellement mal configuré que si vous entrez l’URL de votre moteur de recherche préférée ou de Facebook et bien vous n’obtiendrez rien…

Lire la suite



Comment accélérer l’indexation de la recherche Windows ?

Pour proposer une recherche locale rapide, Windows utilise ce qui s’appelle un « indexeur« . Il s’agit d’un process qui tourne en tâche de fond sur votre ordinateur et qui réalise un index de l’ensemble des fichiers et dossiers présents sur votre disque dur. Pour ne pas consommer trop de ressources, ce service se déclenche uniquement lorsque votre machine n’est pas trop utilisée et à intervalle régulier…

Lire la suite