Linux

Configurer la double Authentification SSH sur Linux

Vous savez, je vous l’ai déjà expliqué, la double authentification est plus qu’importante, elle est presque indispensable aujourd’hui. Partout sur le web, elle est également disponible sur de nombreuses applications ou système d’exploitation.

Aujourd’hui nous verrons comment mettre en place la double authentification sur Linux via SSH. Il y a de nombreuses méthodes pour sécuriser SSH, en voilà une de plus !

Nous verrons ici la mise en place sur un serveur Ubuntu, mais la méthode est sensiblement la même sur d’autres distribution. Il faudra peut être adapter légèrement les commandes.

Attention, on touche ici à l’authentification sur le serveur, n’hésitez pas à faire un backup de vos modifications avant la mise en place du 2FA.

Fonctionnement

En général, lorsque vous vous connectez à un serveur ou une machine Linux en SSH, vous avez juste à saisir une clé SSH ou encore un mot de passe pour vous connecter à distance. Ici, la double authentification va vous obliger à saisir deux informations pour vous connecter. Le mot de passe que vous connaissez, mais également un code qui sera généré sur votre application de double authentification. 

Installation de Google Authenticator sur Ubuntu

Depuis votre serveur Ubuntu/Debian, exécuter la commande suivante pour lancer l’installation de Google Authenticator : 

sudo apt update
sudo apt install libpam-google-authenticator

Puis, lancer l’application Google Authenticator via la commande suivante : 

google-authenticator

Répondez Oui à la première question si vous souhaitez configurer la double authentification.

Ici, un QRCode que vous devrez scanner avec votre application de double authentification va apparaitre. Dans mon cas, j’utilise Authy. Il sera nécessaire d’agrandir au maximum votre terminal pour voir correctement le QRCode.

Notez également que vous aurez quelques codes de secours qui pourront vous être bien utiles en cas de perte de votre smartphone ou de problème avec votre application de double authentification. Conservez-les !

Vous devez maintenant répondre Oui, à toutes les questions pour terminer la mise en place de la double authentification sur SSH.

Configurer le service SSH à utiliser Google Authenticator

Éditer le fichier de configuration SSH : 

sudo nano /etc/ssh/sshd_config

Trouvez les deux paramètres suivants dans votre fichier de configuration et assurez vous qu’ils soit configurer sur « yes » : 

UsePAM yes

ChallengeResponseAuthentication yes

Pour activez Google Authenticator avec SSH, l’authentification PAM et Challenge-Response doivent être activée. Enregistrez et fermez le fichier. Redémarrez ensuite le service SSH pour que la modification prenne effet.

Maintenant, éditer la règle PAM pour SSH

sudo nano /etc/pam.d/sshd

Ajouter ces deux lignes pour activer la double authentification : 

#One-time password authentication via Google Authenticator
auth required pam_google_authenticator.so

Sauvegarder le fichier. À partir de maintenant toutes vos futures connexions via SSH nécessiteront la double authentification.

Pour vous assurer que tout est OK, effectué le test via un autre terminal sans fermer la session active, afin d’être sûr que tout est correctement en place et afin d’éviter les mauvaises surpises.

Comment désactiver la double authentification avec SSH

Éditer le fichier de configuration du service SSH : 

sudo nano /etc/ssh/sshd_config

Trouvez la ligne suivante : 

AuthenticationMethods publickey,keyboard-interactive

Supprimer « keyboard-interactive » de façon à avoir cette ligne à la place : 

AuthenticationMethods publickey

Sauvegarder le fichier de configuration puis relancer le service SSH

sudo systemctl restart ssh

Puisque vous êtes encore là...

...Si cet article vous a aidé ou informé, laissez-moi vous demander une petite faveur. Nombreux d'entre vous utilise AdBlock sur tech2tech. Alors n'hésitez pas à désactiver AdBlock sur ce site ou bien à faire un don pour m'aider à couvrir les frais autour du site.

Si chacun de ceux qui ont lu et apprécié cet article participe, le futur de tech2tech ne pourra être que meilleur. Merci à vous !.

FAIRE UN DON

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 chez homeinformatique. Je partage mes connaissances, problèmes et solutions a travers articles ou tweets !

Articles similaires

Bouton retour en haut de la page