仮想化通信

日本仮想化技術株式会社の公式エンジニアブログ

Google Authenticatorを使ったSSHのワンタイムパスワード認証の設定(CentOS 7)

SSHへの接続は秘密鍵・公開鍵認証を設定して行うのが基本ですが、万が一秘密鍵が盗まれてしまうと、パスフレーズでしか守られていない秘密鍵では総当たり攻撃で第三者が不正にサーバーに接続できてしまうことになります。

この問題に対応するために、SSHサーバーに2要素認証を設定し、秘密鍵公開鍵暗号ともう1つの認証方法を組み合わせて安全性を高めることにします。もう1つの認証方法には、OATH(Initiative for Open Authentication)に対応した「Google Authenticator」を使ったワンタイムパスワード(OTP)認証を組み合わせてみます。

Google AuthenticatorはiOS版、Android版のOTP生成用アプリケーションが用意されているので、手軽に使うことができます。

また、Google Authenticatorはオープンソースとして公開されており、Linuxの認証機構であるPAMに対応しているので、比較的簡単にLinuxSSHサーバーで利用できます。

基本的な設定についてはsowawa氏のブログに記載されています。

http://engineering.webpay.co.jp/2014/08/27/ssh-two-factor-authentication/ http://engineering.webpay.co.jp/2014/09/10/ssh-one-time-password/

しかし、半年ほど経過する間にソースコードGoogle CodeのサイトからGitHubに移動するなど、そのままでは動作しない点がいくつかあるので、2015年3月15日(日)時点での差分を挙げておきます。

検証した環境

SSHサーバー(sshd)のバージョンが6.4以上である必要があるので、CentOS 7を使っています。

ソースコードからのビルドが必要なので、Software Development Workstationを選択し、開発ツールグループのチェックボックスをチェックしてインストールを行っています。

このあたり、細かいインストール条件は詰めていないので、ある程度自力で環境構築して、ソースコードのビルド作業が行えることを想定しています。

ソースコードの在処

GitHubに移動しています。

https://github.com/google/google-authenticator/

git cloneするには、以下のコマンドを実行します。

# git clone https://github.com/google/google-authenticator.git

pam-develパッケージのインストール

ビルドするにはpam-develパッケージもあらかじめインストールしておく必要があります。

# yum install pam-devel

ソースコードのビルド

以下のコマンドでビルドできます。

# cd ~/google-authenticator/libpam
# ./bootstrap.sh
# ./configure
# make
# make install

前記pam-develパッケージがインストールされていないと、configureの段階でエラーになります。

ビルドされたPAMモジュールのコピー

ビルドで生成されたPAMモジュールは/usr/local/lib/securityディレクトリに入ります。これを/usr/lib64/securityディレクトリにコピーする必要があります。

[bash]# cp /usr/local/lib/security/pam_google_authenticator.so /usr/lib64/security[/bash]

それ以外の作業は、sawasa氏のブログの作業の通りですが、概ね以下の順番で進めるといいかと思います。

2要素認証の設定

ひとまず、公開鍵認証+パスワード認証が行えるようにします。 事前に公開鍵認証が行える状態にした上で、以下の設定を行います。

/etc/ssh/sshd_configに以下の修正を加えます。

変更
ChallengeResponseAuthentication no
↓
ChallengeResponseAuthentication yes

追加
AuthenticationMethods publickey,keyboard-interactive

修正したら、sshdを再起動します。

# systemctl restart sshd

sshで接続して、公開鍵認証を行った後、パスワード認証が追加で要求されることを確認します。

Google Authenticator用のPAMの設定ファイルを新規作成

Google Authenticator用のPAMの設定ファイルを新規に作成します。設定ファイル/etc/pam.d/google-authを作成し、内容は以下のように記述します。

#%PAM-1.0
auth        required      pam_env.so
auth        sufficient    pam_google_authenticator.so try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

sshd用のPAMの設定を変更

SSHサーバー用のPAMの設定を変更します。設定ファイル/etc/pam.d/sshdの内容を変更します。

substackコントロールは、前で作成した/etc/pam.d/google-authを取り込みます。パスワード認証は行わないので、password-authを取り込む行はコメントアウトしておきます。

修正
#%PAM-1.0
auth       required     pam_sepermit.so
#auth       substack     password-auth ←コメントアウト
auth       substack     google-auth ←新規追加
(略)

PAMの設定はsshdサービスの再起動などは不要です。

認証したいユーザーに対するGoogle Authenticatorの設定

SSHサーバーへの接続認証を行いたいユーザーにGoogle Authenticatorの設定を行います。公開鍵認証も設定されている前提です。

google-authenticatorコマンドを実行します。色々と聞かれますが、とりあえず「y」で答えておきます。

また、実行直後に表示されるURLにアクセスして表示されるQRコードを、Google Authenticatorアプリに読み込ませて、OTPが生成できるように設定します。

クライアントから2要素認証を試してみる

あとはsshコマンドでSSHサーバーに接続するだけです。公開鍵認証の後、OTPの入力が要求されるので、Google Authenticatorアプリに表示されるコードを入力して、ログインできることを確認してください。