Ubuntu에서 ssh접속시 Google Authenticator 연동

Ubuntu22를 웹서버로 쓰고 있는데, 해당 서버 관리자가 보통 ssh로 작업하고 있습니다. 하지만 현재는 ssh key 확인도 안하고 비밀번호 입력만으로 되어 있기에 보안에서 이 정도 수준으로는 안되겠다 싶어서 OTP 도입을 검토했습니다. 그 결과 Google Authenticator를 써서 활용하기로 했지요.

다음은 그 방법과 절차에 대해서 소개합니다.

SSH 보안 2단계 OTP 설정

SSH에 두 단계 인증 (2FA)을 설정하는 것은 고급 보안 조치 중 하나로, 비밀번호 또는 SSH 키 인증 외에 추가적인 인증 수단을 요구합니다. 일반적으로, Google Authenticator와 같은 시간 기반 일회용 패스워드 (TOTP) 앱을 사용하여 구현할 수 있습니다. 여기에 SSH에 2FA를 설정하는 방법을 단계별로 설명하겠습니다.

1. 필요한 소프트웨어 설치

먼저, 서버에 libpam-google-authenticator 패키지를 설치합니다. 이 패키지는 PAM (Pluggable Authentication Module)을 사용하여 Google Authenticator와의 통합을 가능하게 합니다.

sudo apt update
sudo apt install libpam-google-authenticator

2. 각 사용자의 Google Authenticator 설정

각 사용자는 자신의 계정에서 google-authenticator 명령을 실행해야 합니다. 이 명령은 개인 키를 생성하고, 이 키를 바탕으로 QR 코드를 생성합니다. 사용자는 스마트폰에 Google Authenticator 앱을 설치한 후, 이 QR 코드를 스캔해야 합니다.

Google Authenticator 앱

google-authenticator

명령어 실행 중 다음과 같은 질문에 답해야 합니다:

• Do you want authentication tokens to be time-based (y/n): y 입력
• 이후의 질문들은 사용 환경에 맞게 y 또는 **n**으로 답변합니다. 일반적으로 로그인 시마다 새로운 인증 코드가 요구되도록 설정하는 것이 좋습니다.

설정 과정에서 다음과 같은 질문에 답변하세요:

1. Time-based (y/n): y
2. Update the .google_authenticator file (y/n): y
3. Disallow multiple uses (y/n): y
4. Increase the window size (y/n): n
5. Enable rate-limiting (y/n): y

3. SSH PAM 설정 변경

이제 SSH 서버가 PAM을 통해 2FA를 요구하도록 /etc/pam.d/sshd 파일을 수정해야 합니다.

sudo nano /etc/pam.d/sshd

파일 맨 아래에 다음 줄을 추가합니다:

auth required pam_google_authenticator.so

4. SSH 데몬 설정 변경

또한, /etc/ssh/sshd_config 파일에서 PAM을 활성화해야 합니다.

sudo nano /etc/ssh/sshd_config

다음 두 설정을 확인하거나 수정합니다:

• ChallengeResponseAuthentication yes
• UsePAM yes
• KbdInteractiveAuthentication yes

위의 세가지가 다 되어야 합니다.

(참고)

# PasswordAuthentication yes
# AuthenticationMethods publickey,password publickey,keyboard-interactive

위 부분은 안 해도 상관없었음.

5. SSH 서비스 재시작

모든 설정을 완료한 후에는 SSH 서비스를 재시작하여 변경 사항을 적용해야 합니다.

sudo systemctl restart sshd

6. 테스트

이제 SSH로 서버에 접속을 시도할 때, 사용자 이름과 패스워드(또는 SSH 키) 입력 후, Google Authenticator 앱에서 생성된 6자리 코드를 입력해야 합니다.

이렇게 설정하면 SSH 접속에 대한 보안이 크게 강화됩니다. 이중 인증은 비밀번호 또는 키가 노출되었을 때 추가적인 보안 계층을 제공하여 무단 접근을 방지합니다.

 

(참고)

필요한지 모르지만, 안될 때 했던 것들

chmod 600 ~/.google_authenticator

시간 동기화 확인

서버와 클라이언트(즉, Google Authenticator 앱이 설치된 기기)의 시간이 정확하게 동기화되어 있는지 확인하세요.

서버 시간 동기화

서버에서 NTP(Network Time Protocol)를 사용하여 시간을 동기화합니다.

sudo apt-get install ntp
sudo systemctl enable ntp
sudo systemctl start ntp

NTP가 설치 및 시작된 후, 서버의 시간을 확인하고 동기화 상태를 점검합니다.

ntpq -p

클라이언트 시간 동기화

Google Authenticator 앱이 설치된 기기(예: 스마트폰)에서 시간이 정확하게 동기화되어 있는지 확인합니다. 대부분의 스마트폰은 인터넷을 통해 자동으로 시간을 동기화합니다.