Uwierzytelnianie dwuskładnikowe SSH z Google Authenticator

#ssh #2fa #google authenticator #bezpieczeństwo #serwery #linux #debian #ubuntu #centos #rhel #pam #uwierzytelnianie #devops #security #authy #otp #totp
07 wrz 2025 • 9 min czytania
Dostęp do serwera przez SSH to podstawowe narzędzie administratora, ale jednocześnie jeden z najczęściej atakowanych punktów w infrastrukturze. Silne hasło to za mało - warto wdrożyć dodatkowe zabezpieczenie w postaci uwierzytelniania dwuskładnikowego (2FA). W tym artykule pokażemy, jak skonfigurować logowanie do SSH z użyciem Google Authenticator.

Dlaczego warto dodać 2FA do SSH


Ataki brute-force na SSH są codziennością. Dodanie drugiego składnika logowania powoduje, że nawet jeśli hasło zostanie złamane lub wykradzione, dostęp do serwera pozostaje zablokowany.

zwiększone bezpieczeństwo dostępu do serwera
ochrona przed skutkami wycieku haseł
niski koszt wdrożenia - darmowe narzędzia open-source
zgodność z popularnymi aplikacjami 2FA (Google Authenticator, Authy, FreeOTP)

Instalacja Google Authenticator PAM


Na serwerze Linux (Debian/Ubuntu):

sudo apt update
sudo apt install libpam-google-authenticator -y

Na CentOS/RHEL:

sudo yum install google-authenticator -y

Konfiguracja użytkownika


Uruchom konfigurator dla konta, które loguje się przez SSH:

google-authenticator

Podczas konfiguracji zostaną wygenerowane:
kod QR do zeskanowania w aplikacji 2FA
klucze zapasowe (scratch codes)
pytania o parametry bezpieczeństwa (odświeżanie kodów, rate limiting)

Integracja z PAM


Edytuj plik `/etc/pam.d/sshd` i dodaj linię:

auth required pam_google_authenticator.so

Modyfikacja konfiguracji SSH


Otwórz plik `/etc/ssh/sshd_config` i ustaw:

ChallengeResponseAuthentication yes

Następnie zrestartuj usługę SSH:

sudo systemctl restart sshd

Test logowania


Przy kolejnym logowaniu SSH zostaniesz zapytany o:
hasło użytkownika
jednorazowy kod z aplikacji Google Authenticator

Najlepsze praktyki


zawsze zachowaj klucze zapasowe (scratch codes) w bezpiecznym miejscu
używaj kluczy SSH + 2FA zamiast samych haseł
przetestuj konfigurację na sesji równoległej (żeby nie zablokować dostępu)
rozważ wdrożenie centralnego systemu zarządzania tożsamością, jeśli masz wielu administratorów

Podsumowanie


Dodanie uwierzytelniania dwuskładnikowego do SSH znacząco podnosi poziom bezpieczeństwa serwera. Konfiguracja z Google Authenticator jest szybka, darmowa i kompatybilna z wieloma aplikacjami mobilnymi. To proste wdrożenie, które realnie ogranicza ryzyko włamania.

Chcesz zwiększyć bezpieczeństwo swoich serwerów i wdrożyć uwierzytelnianie dwuskładnikowe? Skontaktuj się z nami - doradzimy najlepsze rozwiązanie i zajmiemy się konfiguracją.
Skontaktuj  się  z  nami
06 wrz 2025 • 10 min czytania

Podstawy hardeningu systemu Linux - lista kontrolna administratora

Hardening systemu Linux polega na wzmacnianiu jego bezpieczeństwa poprzez ograniczanie zbędnych usług, stosowanie właściwych uprawnień...

Zobacz więcej
07 wrz 2025 • 8 min czytania

Jak działa swap w Linux i kiedy warto go wyłączyć

Swap w systemie Linux to przestrzeń na dysku używana jako rozszerzenie pamięci RAM. Dzięki niemu system może działać nawet wtedy, gdy...

Zobacz więcej
04 wrz 2025 • 7 min czytania

Fail2Ban w praktyce - skuteczna ochrona przed brute force

Ataki brute force na serwery są codziennością. Boty bez przerwy próbują zgadywać hasła do SSH, FTP czy paneli administracyjnych. Nawet...

Zobacz więcej
03 wrz 2025 • 8 min czytania

Raid5 w macierzach dyskowych - czy to dobry wybór?

RAID5 to jedno z najczęściej stosowanych rozwiązań w budowie macierzy dyskowych. Łączy w sobie wydajność, pojemność i bezpieczeństwo...

Zobacz więcej
07 wrz 2025 • 13 min czytania

Najczęstsze błędy administratorów Linux - jak ich unikać?

Administracja serwerami Linux to odpowiedzialne zadanie, w którym nawet drobny błąd może prowadzić do poważnych konsekwencji: przestojów,...

Zobacz więcej

Tutaj znajdziesz odpowiedzi na najważniejsze pytania dotyczące naszych usług i wsparcia.

FAQ

Jakie usługi administracji serwerami oferujecie?

Świadczymy kompleksową obsługę - od konfiguracji i monitoringu, przez optymalizację wydajności, aż po pełne wsparcie techniczne 24/7.

Czy zajmujecie się migracją danych i systemów?

Tak, wykonujemy bezpieczne migracje plików, baz danych i aplikacji - bez przestojów i bez dodatkowych kosztów.

Czym różni się serwer dedykowany od VPS?

Serwer dedykowany to pełna maszyna tylko dla Ciebie, a VPS to jej podział na wirtualne środowiska - tańsze, ale współdzielone.

Czy mogę liczyć na pomoc przy awarii?

Tak, monitorujemy serwery całodobowo i natychmiast reagujemy w przypadku awarii, minimalizując ryzyko przestoju.

Czy Wasze rozwiązania są skalowalne?

Oferujemy infrastrukturę, która rośnie razem z Twoim biznesem - łatwo zwiększysz zasoby wtedy, gdy tego potrzebujesz.

Czy oferujecie wsparcie przy budowie infrastruktury?

Tak, projektujemy i wdrażamy środowiska IT dopasowane do potrzeb – od małych firm po duże, złożone systemy.

Jak zabezpieczacie serwery przed atakami i utratą danych?

Stosujemy firewalle, systemy anty-DDoS, regularne backupy i aktualizacje, aby zapewnić maksymalne bezpieczeństwo.

Jakie gwarancje SLA zapewniacie?

Oferujemy SLA na poziomie 99.99% dostępności, co oznacza niezawodne działanie infrastruktury i szybki czas reakcji przy ewentualnych problemach.

Chcesz dowiedzieć się więcej o naszej ofercie?

Wyślij  zapytanie