Bảo mật 2 lớp là thứ mà chúng ta đã khá quen thuộc và có ở mọi nơi như Gmail hay Facebook. Nó giúp cho tài khoản của bạn an toàn hơn rất nhiều, dù cho bạn có bị lộ mật khẩu hay bị ai đó hack được thì không quá lo vì họ cũng ko thể đăng nhập được. Việc nhập thêm code sẽ tăng bảo mật tuy nhiên cũng kèm theo bất tiện cho việc dùng FTP, hãy cân nhắc trước khi cài nếu bạn thực sự cần. Hoặc bạn có thể tham khảo cách dùng SSH Key tại đây.

Bài này tôi sẽ hướng dẫn các bạn cách cài bảo mật 2 lớp cho VPS CentOS 7, để khỏi lo việc bị tấn công Brute Force.

Ta truy cập SSH vào VPS

Trc tiên ta  cài Repo đã

yum install epel-release

Cài tiếp ứng dụng bảo mật 2 lớp của GG

yum install google-authenticator -y

Giờ ta cấu hình nó bằng lệnh

google-authenticator

Bạn sẽ dc hỏi 1 số câu hỏi, hãy chọn y để đồng ý

Do you want authentication tokens to be time-based (y/n) y

Bạn sẽ nhận dc code hãy nhớ lưu nó lại, code màu đỏ chính là code ta sẽ cài vào ứng dụng Google Authenticator trên điện thoại Android hoặc iOS

Your new secret key is: FM3GISUH5PUYS5URSLGHRJC6I
Your verification code is 648421
Your emergency scratch codes are:
 45414641
 37092312
 33332183
 52743908
 87718387

Bạn sẽ dc hỏi thêm 1 số câu hỏi khác như có cho phép truy cập nhiều người 1 lúc hay chỉ cho phép 3 lần đăng nhập trong 30s.

Do you want me to update your "/root/.google_authenticator" file? (y/n) y
Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

Tiếp đến ta cấu hình cho SSH ta mở file

vi/etc/pam.d/sshd

Thêm vào cuối đoạn code, sau đó lưu lại.

auth required pam_google_authenticator.so nullok

Tiếp đến mở file

vi/etc/ssh/sshd_config 

Tìm tới dòng như dưới thay no bằng yes rồi lưu lại.

ChallengeResponseAuthentication no

Khởi động lại dịch vụ SSH

systemctl restart sshd

Từ giờ khi SSH vào VPS của mình, sau khi gõ mật khẩu bạn phải đánh thêm code từ ứng dụng Google Authenticator nữa mới vào dc .

login as:root
Password:
Verification code:

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *