의외로 몹시 쉽다.
Instructions
- https://ubuntu.com/tutorials/configure-ssh-2fa#1-overview 공식 가이드인데 디테일이 조금 부족
- https://dev.to/himadriganguly/configure-ssh-server-with-key-based-and-two-factor-authentication-3oc2 이걸 보고 했다.
- https://serverfault.com/questions/1073593/ssh-public-key-authentication-with-google-authenticator-still-asks-for-password 여기도 같은 맥락의 답이 달려있다.
- sudo apt install libpam-google-authenticator로 인증기 설치
- /etc/pam.d/ssh 수정을 하는데 common-auth 는 꺼야 함. (공식 가이드에 없는 부분)
# Standard Un*x authentication.
# @include common-auth
- 그리고 맨 아래에 OTP auth를 적는다.
# Standard Un*x password updating.
@include common-password
# And 2FA
auth required pam_google_authenticator.so
- /etc/ssh/sshd_config 수정을 하는데, 공식 가이드에 없는 것이 있다.
# For 2FA
ChallengeResponseAuthentication yes # 이거는 켜고
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no # 이거는 AWS에서는 꺼져있다
#PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
KbdInteractiveAuthentication no # 이거도 꺼져있고
AuthenticationMethods publickey,keyboard-interactive # 이거는 반드시 추가
- sudo systemctl restart sshd.service
- 유저별로 google-authenticator 명령을 실행시켜서 TOTP setup을 해야지 된다.
- 이제 ssh로 서버에 접속이 잘 되는지 확인을 한다.
- 이후 다른 유저를 추가할 시, sudo su - USER_ID 로 “로그인” 한 뒤에 TOTP setup을 해줘야 함.