Site d'infos et de tutoriels pour Linux.

La validation en deux étapes, ou la double authentification, permet de demander, en plus d’un mot de passe, un code de confirmation à six chiffres généré par votre téléphone et changeant toutes les dix secondes. Au niveau de la sécurité, combiné avec l’authentification par clef, difficile de faire mieux! En effet même si quelqu’un parvennait à dérober les clefs sur votre ordinateur, il lui faudrait aussi voler votre télephone.

Installation

warning

Attention: si vous effectuez ces manipulations connectés en SSH, ne fermez pas votre connection avant d’avoir pu vous connecter une fois installée la double authentification, sans quoi vous pourriez vous trouver bloqués en dehors de votre ordinateur.

Vidéo de l’installation.

Veillez à stocker les codes fournis maintenant, ils vous permetteront de vous connecter si jamais vous n’avez pas accès a votre telephone.

Google-authenticator with registered SSH account

Connectez ensuite votre telephone à votre compte. Dans l’application google-authenticator (iOS ou Android) soit en prenant en photo le QR code à l’URL donnée (ou affiché dans le terminal) soit en rentrant la clef secrète fournie. Si tout se passe bien vous aurez quelque chose qui ressemble à ça, sans le compte Gandi évidemment.

Je vous conseille de ne demander le code de confirmation uniquement que pour les connections en SSH, en non globallement. Cependant c’est aussi possible: plutôt que de modifier /etc/pam.d/sshd comme ci-après, modifiez /etc/pam.d/system-auth en redoublant de vigilance afin de ne pas se retrouver sans possiblité de connection.

Donc ouvrez /etc/pam.d/sshd et ajoutez ceci:

Puis modifiez /etc/ssh/sshd_config et changez le “no” de cette ligne en “yes” comme ici:

Vous pouvez maintenant tester votre connection, si tout se passe bien vous devriez voir ceci:

Et voilà, vous avez maintenant une double vérification sur votre serveur SSH!

Comments (4)

  1. Sécuriser un serveur SSH - said on 20-03-2014

    […] Validation en deux étapes SSH […]

  2. blutch said on 06-04-2014

    Intéressant tout ça. Si je me connecte en SFTP avec les identifiants SSH ça fonctionne aussi ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *