« `html
La sécurité des serveurs est un enjeu majeur pour toutes les entreprises et professionnels qui utilisent des serveurs distants. Une méthode robuste pour renforcer cette sécurité est la mise en place de la double authentification (2FA) pour les connexions SSH. Dans cet article, nous allons explorer le fonctionnement de la double authentification, comment installer Google Authenticator sur un serveur Ubuntu, configurer le service SSH pour l’utiliser, et enfin, comment désactiver cette fonctionnalité si nécessaire. Suivez ce guide détaillé pour augmenter la sécurité de vos accès serveur et protéger davantage vos données sensibles.
Fonctionnement
La double authentification est un mécanisme de sécurité qui ajoute une couche supplémentaire à la procédure d’authentification habituelle. Après avoir entré le nom d’utilisateur et le mot de passe, l’utilisateur doit fournir une deuxième forme d’identification, souvent un code à usage unique généré par une application d’authentification comme Google Authenticator. Ce second facteur rend beaucoup plus difficile l’accès non autorisé à vos systèmes.
Dans le contexte de SSH, la double authentification ajoute ce second facteur au processus de connexion simple. Après avoir saisi leur mot de passe SSH, l’utilisateur doit alors entrer un code temporaire généré par Google Authenticator. Ce code est synchronisé avec un algorithme basé sur le temps, ce qui signifie qu’il change toutes les 30 secondes, rendant pratiquement impossible l’interception et la réutilisation par un tiers malveillant.
Installation de Google Authenticator sur Ubuntu
Pour commencer, vous devez installer Google Authenticator sur votre serveur Ubuntu. Utilisez la commande suivante pour installer les paquets nécessaires :
sudo apt-get update sudo apt-get install libpam-google-authenticator Une fois installé, exécutez google-authenticator pour configurer l’application. Suivez les instructions affichées à l’écran pour générer un code QR, que vous pouvez scanner avec l’application Google Authenticator sur votre smartphone. Assurez-vous de sauvegarder les codes de secours fournis au cas où vous perdriez l’accès à votre appareil authentificateur.
Configurer le service SSH à utiliser Google Authenticator
Pour permettre à SSH d’utiliser Google Authenticator, vous devez modifier le fichier de configuration SSHD. Ouvrez votre éditeur de texte préféré avec les droits administratifs et éditez /etc/ssh/sshd_config .
sudo nano /etc/ssh/sshd_configAjoutez ou modifiez les lignes suivantes :
ChallengeResponseAuthentication yes AuthenticationMethods publickey,keyboard-interactiveEnsuite, éditez le fichier PAM Google Authenticator :
sudo nano /etc/pam.d/sshdAjoutez la ligne suivante en haut du fichier :
auth required pam_google_authenticator.soPour que les changements prennent effet, redémarrez le service SSH :
sudo systemctl restart sshdComment désactiver la double authentification avec SSH
Si vous avez besoin de désactiver la double authentification pour une raison quelconque, commencez par modifier le fichier de configuration SSHD pour revenir aux paramètres précédents. Ouvrez /etc/ssh/sshd_config et remplacez les lignes modifiées :
ChallengeResponseAuthentication no #AuthenticationMethods publickey,keyboard-interactiveEnsuite, éditez le fichier PAM Google Authenticator pour commenter ou supprimer la ligne que vous avez ajoutée :
#auth required pam_google_authenticator.soN’oubliez pas de redémarrer le service SSH après ces modifications :
sudo systemctl restart sshd
Cela désactivera la double authentification et reviendra à la méthode d’authentification SSH standard. Utilisez ceci avec prudence, car cela réduira le niveau de sécurité de vos connexions SSH.
Perspectives futures
| Etape | Action |
|---|---|
| Fonctionnement | Comprendre le concept et l’importance de la double authentification |
| Installation | Installer Google Authenticator sur Ubuntu |
| Configuration SSH | Configurer le service SSH pour utiliser Google Authenticator |
| Désactivation | Désactiver la double authentification en modifiant les fichiers de configuration correspondants |
« `
