⚔ Implémentation de l’authentification multi-facteurs (MFA) sous Linux
Introduction
Ce tutoriel montre comment configurer la MFA sous Linux en utilisant Google Authenticator ou des solutions open-source pour sécuriser les connexions SSH et locales.
Prérequis
• Une distribution Linux récente (Ubuntu, Fedora, etc.)
• Accès root ou sudo pour configurer PAM et SSH
• Application d’authentification (Google Authenticator, FreeOTP, etc.)
Méthodologie
Installer et configurer Google Authenticator
• Installez le module PAM pour Google Authenticator :
• Configurez l’application pour un utilisateur :
• Suivez les étapes pour :
Générer une clé secrète.
Configurer une période de validité.
Définir des sauvegardes de codes.
• Ajoutez le module PAM à votre fichier /etc/pam.d/sshd :
• Plus d’informations : Google Authenticator Linux
Activer la MFA pour SSH
• Modifiez le fichier de configuration SSH :
• Ajoutez ou modifiez les paramètres suivants :
• Redémarrez le service SSH :
• Testez la connexion avec votre clé publique et l’application MFA.
• Documentation complémentaire : SSH MFA Linux
Configurer une clé de sécurité avec PAM
• Installez pam-u2f pour les clés USB de sécurité :
• Configurez la clé avec pamu2fcfg :
• Modifiez le fichier /etc/pam.d/common-auth :
• Plus d’informations : Yubico PAM
Astuce
Configurez des utilisateurs spécifiques pour la MFA afin de tester les paramètres avant de l’activer globalement.
Avertissement
En cas de perte de votre méthode MFA (appareil ou clé), assurez-vous de disposer de codes de récupération.
Conseil
Utilisez Authy comme alternative multiplateforme à Google Authenticator pour gérer vos codes MFA.
Solution alternative
Essayez LUKS pour protéger les fichiers associés aux configurations MFA sensibles.
Conclusion
Vous avez configuré la MFA sous Linux pour sécuriser vos connexions SSH et locales, réduisant ainsi le risque d’accès non autorisé.
IntroductionCe tutoriel montre comment configurer la MFA sous Linux en utilisant Google Authenticator ou des solutions open-source pour sécuriser les connexions SSH et locales.
Prérequis• Une distribution Linux récente (Ubuntu, Fedora, etc.)
• Accès root ou sudo pour configurer PAM et SSH
• Application d’authentification (Google Authenticator, FreeOTP, etc.)
Méthodologie Installer et configurer Google Authenticator• Installez le module PAM pour Google Authenticator :
Code:
sudo apt install libpam-google-authenticator• Configurez l’application pour un utilisateur :
Code:
google-authenticator• Suivez les étapes pour :
Générer une clé secrète.
Configurer une période de validité.
Définir des sauvegardes de codes.
• Ajoutez le module PAM à votre fichier /etc/pam.d/sshd :
Code:
auth required pam_google_authenticator.so• Plus d’informations : Google Authenticator Linux
Activer la MFA pour SSH• Modifiez le fichier de configuration SSH :
Code:
sudo nano /etc/ssh/sshd_config• Ajoutez ou modifiez les paramètres suivants :
Code:
ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive• Redémarrez le service SSH :
Code:
sudo systemctl restart sshd• Testez la connexion avec votre clé publique et l’application MFA.
• Documentation complémentaire : SSH MFA Linux
Configurer une clé de sécurité avec PAM• Installez pam-u2f pour les clés USB de sécurité :
Code:
sudo apt install libpam-u2f• Configurez la clé avec pamu2fcfg :
Code:
pamu2fcfg > ~/.config/Yubico/u2f_keys• Modifiez le fichier /etc/pam.d/common-auth :
Code:
auth required pam_u2f.so• Plus d’informations : Yubico PAM
AstuceConfigurez des utilisateurs spécifiques pour la MFA afin de tester les paramètres avant de l’activer globalement.
AvertissementEn cas de perte de votre méthode MFA (appareil ou clé), assurez-vous de disposer de codes de récupération.
ConseilUtilisez Authy comme alternative multiplateforme à Google Authenticator pour gérer vos codes MFA.
Solution alternativeEssayez LUKS pour protéger les fichiers associés aux configurations MFA sensibles.
ConclusionVous avez configuré la MFA sous Linux pour sécuriser vos connexions SSH et locales, réduisant ainsi le risque d’accès non autorisé.
