CentOS 7, Oracle Linux 7.9에서 Test하였습니다.
1. 핸드폰에 google otp app을 설치
2. Compute에 google-authenticator 설치
sudo yum install google-authenticator
> 설치가 안될 때 EPEL (Extra Packages for Enterprise Linux)을 먼저 설치
sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
3. Compute에 사용자별 초기토큰생성
google-authenticator
> 위 명령어를 입력하면 QR코드가 조회된다. 그 QR코드를 핸드폰 google otp app의 QR코드스캔을 통해 compute에 대한 OTP를 추가한다.
> 초기토큰은 사용자별로 생성된다.
4. 생성된 초기토큰을 확인한다.
cat ~/.google_authenticator
5. MFA를 사용하도록 SSH 설정변경
sudo vi /etc/pam.d/sshd
위 파일에 아래 코드를 추가한다.
auth required pam_google_authenticator.so secret=${HOME}/.google_authenticator
> 초기토큰을 생성한 사용자만 MFA가 적용되게 하려면 아래코드를 추가한다.
auth required pam_google_authenticator.so nullok secret=${HOME}/.google_authenticator
sudo vi /etc/ssh/sshd_config
위 파일의 내용 중 아래 부분을 변경한다.
ChallengeResponseAuthentication yes
UsePAM yes
6. 변경사항을 적용하기 위해 sshd서비스 재시작
sudo systemctl restart sshd
7. 접속하기
위 설정이 완료되면 로그인 시 아래처럼 OTP정보와 비밀번호를 입력하고 로그인한다.
참고: https://www.youtube.com/watch?v=wrx2cm3qDNI
손창호(primelyson@gmail.com) / Cloud Engineer, 정보시스템감리사, DAP, PIA
개인의 시간을 할애하여 작성된 글로서 글의 내용에 오류가 있을 수 있으며, 글 속의 의견은 개인적인 의견입니다.
'6. 보안 Security' 카테고리의 다른 글
| Block Volume with Vault (0) | 2022.09.22 |
|---|---|
| Object Storage with Vault (0) | 2022.09.22 |
| Admin Account 변경하기 (0) | 2022.07.15 |
| Bastion 설정 (0) | 2022.07.01 |
| IDCS User 비밀번호 변경하기 (0) | 2022.06.30 |
댓글