Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Activer l’authentification en 2 étapes pour votre serveur SSH

Je le pète et le répète assez souvent : Quand vous le pouvez, pensez à activer l’authentification en 2 étapes (2FA) sur vos sites web préférés.

Petit rappel pour les nouveaux dans le game, l’authentification en 2 étapes permet d’ajouter en plus du mot de passe (quelque chose que vous connaissez), un code généré par une application spécifique sur votre téléphone portable (quelque chose que vous possédez).

Ainsi, même si on vous dérobe votre mot de passe, il faudra en plus vous voler votre téléphone (et le mot de passe de celui-ci) afin de pouvoir s’authentifier à votre place sur un site web équipé de la double authentification.

Et si vous êtes vous-même l’heureux administrateur de serveurs, et bien, vous tombez bien, car aujourd’hui on va apprendre à activer l’authentification en 2 étapes pour vos connexions SSH.

Pour cela, connectez-vous sur votre serveur, et installez le paquet suivant :

sudo apt-get install libpam-google-authenticator

Puis lancez la commande :

google-authenticator

Première question, est-ce que vous voulez des codes basés sur le temps ? Répondez-oui, ça permet de générer des codes qui sont limités dans le temps.

Ensuite, Google Authenticator vous générera un gros QR Code qu’il faudra flasher avec l’application Authenticator (Pour iOS ici et pour Android ici).

Vous pouvez aussi y accéder via l’URL fournie dans le terminal.

Attention, C’EST TRÈS IMPORTANT : Vous aurez aussi une série de codes d’urgences générez que vous devez absolument conserver dans un coin. Cela vous permettra de vous connecter quand même à votre serveur même si votre téléphone vous a lâché ou que vous l’avez formaté.

Appuyez ensuite sur la touche « y » pour mettre à jour la config Google Authenticator.

L’outil vous posera ensuite 3 questions relatives à la configuration.

La première conserve l’utilisation multiple du même code. Niveau sécurité, je vous conseille de faire « y » pour désactiver cette possibilité. Cela vous protégera en cas d’attaques Mitm (man in the middle)

La 2e question concerne la durée de péremption des codes. Par défaut, un code est valide 1min30 après qu’il soit passé. Cela permet d’absorber les latences qu’elles soient réseau ou humaines (si vous tapez lentement )). Là on vous demande si vous voulez garder cette durée à 1 min 30 ou la passer à 4 min si vous éprouvez des difficultés. Je vous conseille de répondre « n » à cette question.

La troisième et dernière question permet d’activer une limite maximum de codes erronés. Ainsi, on évite les attaques de type bruteforce. Répondez « y » à cette question.

Ensuite, on va configurer ssh pour qu’il prenne en compte ce nouveau module. Pour cela, éditez le fichier

sudo nano /etc/pam.d/sshd

et ajoutez y la ligne :

auth required pam_google_authenticator.so

Puis éditez le fichier :

sudo nano /etc/ssh/sshd_config

Et mettez à « yes », la ligne :

ChallengeResponseAuthentication yes

Puis relancez ssh :

sudo /etc/init.d/ssh restart

Et voilà, maintenant faites un essai en lançant une nouvelle connexion SSH (une nouvelle, hein, ne quittez pas votre connexion en cours, car si vous avez merdé quelque part, vous ne pourrez plus vous connecter via SSH). Votre serveur va vous demander votre mot de passe, puis votre code généré par l’application installée sur votre smartphone.

J’espère que l’astuce vous aura plu !

Source


pCloud – Une solution de stockage en ligne complète

Intègre un outil qui permettra de chiffrer et protéger par un mot de passe vos fichiers les plus sensibles

pCloud propose à la fois de la synchro et du stockage, ce qui vous permet d’étendre le stockage de votre ordinateur jusqu’à 2 To sans avoir besoin de bouffer l’ensemble de votre disque dur. Et bien sûr vos fichiers restent accessibles de manière transparentes via l’explorateur de fichiers ou le Finder.

Vos données sont également versionnés pour éviter les écrasements malheureux et si vous supprimez un dossier ou un document, vous pourrez toujours le récupérer sans problème dans la corbeille pCloud.

Pour découvrir ce service c’est ici


Réponses notables

  1. Très bon truc, c’est vrai que ce genre d’authentification est très pratique.
    En revanche, je pense que je passerai mon tour pour ce service, car bah… si j’ai bien compris, il y a des dépendances permanentes à Google. Et ça je suis pas très chaud :confused:

  2. Google te donne juste la clé privée et le support d’Authenticator. Donc au mieux ils peuvent connaitre le code en cours mais pas très utile seul !
    Les algo de types token sont prédictibles, du coup avec la clé tu peux prévoir le code que tu auras demain à une heure donné, pas besoin d’un accès à un service de Google. Tu peux dev ou récupérer une appli similaire à authenticator et générer ta propre clé, mais c’est se faire ch*** pour peu :slight_smile:

Continuer la discussion sur Korben Communauté

9 commentaires supplémentaires dans les réponses

Participants