Jak nastavit dvoufaktorovou autentizaci na svém serveru?

V pohodě, nastavení dvoufaktorovky na Linux serveru není až tak složitý. První věc, co udělej, je nainstalovat balíček pro Google Authenticator. Na většině distribucí to uděláš příkazem sudo apt install libpam-google-authenticator (pro Ubuntu/Debian) nebo sudo yum install google-authenticator (pro CentOS/RHEL).

Pak si spustíš google-authenticator příkaz jako uživatel, pro kterého chceš dvoufaktorovku nastavit. Vygeneruje ti QR kód, který naskenuješ do aplikace na telefonu. Dál ti to vyplivne nějaké záložní kódy, ty si ulož, nikdy nevíš.

Teď musíš upravit soubor /etc/pam.d/sshd. Přidej tam řádek auth required pam_google_authenticator.so, abys to aktivoval pro SSH přihlášení. Nezapomeň taky upravit /etc/ssh/sshd_config, kde nastavíš ChallengeResponseAuthentication yes. Po těchto změnách restartuj SSH server pomocí sudo systemctl restart sshd.

Každý uživatel si musí nastavit svou vlastní dvoufaktorovku, takže pokud máš víc uživatelů, budeš to muset udělat pro každého jednotlivě. Jakmile je to hotový, při přihlašování tě server vyzve nejdřív na heslo a pak na kód z aplikace. Je to jednoduché a fakt to zvyšuje bezpečnost. Tak hodně štěstí!

Nastavení dvoufaktorové autentizace (2FA) na Linux serveru není zas tak složité. Můžeš použít Google Authenticator, což je jedna z nejběžnějších možností. Zde je pár kroků, co udělat:

1. Nainstaluj potřebný balíček: Na Debian/Ubuntu použij sudo apt-get install libpam-google-authenticator. Na RedHat/CentOS to bude sudo yum install google-authenticator.

2. Nastavení pro uživatele: Každý uživatel, který chce používat 2FA, musí spustit příkaz google-authenticator v terminálu. Ten ti vygeneruje QR kód, který naskenuješ v aplikaci Google Authenticator na telefonu. Taky dostaneš záložní kódy pro případ, že bys přišel o telefon.

3. Konfigurace PAM: Musíš upravit soubor /etc/pam.d/sshd a přidat řádek auth required pam_google_authenticator.so pod ostatní autentizační řádky.

4. SSH konfigurace: V souboru /etc/ssh/sshd_config povolíš dvoufaktorovou autentizaci přidáním nebo úpravou řádku ChallengeResponseAuthentication yes. Potom restartuj SSH službu pomocí sudo service ssh restart.

5. Uživatelé: Jakmile to nastavíš, každý uživatel si musí projít výše zmíněným procesem s google-authenticatorem. Je to potřeba nastavit pro každého zvlášť.

Takže v praxi, po zadání hesla se uživatelům zobrazí výzva k zadání kódu z aplikace, což zvyšuje bezpečnost. Pokud máš další dotazy ohledně konkrétních částí nebo problémů při instalaci, dej vědět!