Authentification en deux étapes sur SSH avec authy

31 mai 2014 Sécurité 0 Commentaire

La double authentification repose sur un principe simple. Pour se connecter à son compte, il faut deux éléments: votre mot de passe et un code chiffré à usage limite dans le temps, habituellement une vingtaine de seconde. Google le fait mais voila il existe aussi Authy qui a l’avantage de proposer des applications de haute qualité (extension chrome, une application iOS iPhone et iPad). Et excellente nouvelle vous pouvez vous servir d’authy pour configurer une authentification en deux étapes sur SSH !

Commencez par creer votre compte sur Authy en vous rendant sur son site officiel. Une fois inscrit et connecté sur le dashboard créer une nouvelle application puis donnez lui un joli petit nom.

Authentification en deux étapes sur SSH avec authy

 

Ne fermez pas la page web vous aurez besoin de votre clef d’authentification API Authentification en deux étapes sur SSH avec authy

 

Connectez vous sur votre serveur et téléchargez le bash nécessaire pour l’installation d’authy

curl -O 'https://github.com/authy/authy-ssh/blob/master/authy-ssh'

 

Nous pouvons maintenant lancer l’installation

sudo bash authy-ssh install /usr/local/bin

 

Dans un premier temps le script d’installation vous demandera de rentrer la clef d’authentification API, ensuite vous devrez choisir comment le systeme devra réagir si api.auth.com n’est pas joignable : 1) Désactiver l’authentification double étape jusqu’à ce que l’api soit joignable 2) Refuser tous les logins jusqu’à ce que l’api soit joignable Vous pouvez maintenant configurer l’authentification deux étapes pour chacun de vos users ici pour root :

sudo /usr/local/bin/authy-ssh enable root chuck@norris.com 33 666666666

 

Le script vous récapitule vos informations et vous demande une confirmation

    Username:   chuck.norris
    Cellphone:  (+33) 666666666
    Email:      chuck@norris.com


Do you want to enable this user? (y/n) y

 

Relancez ssh (ne fermez pas votre session actuelle)

sudo service ssh reload

 

Ouvrez une autre connexion sur votre serveur et lorsque vous vous identifiez  vous pouvez soit utiliser une des applications authy pour récupérer votre token (obligatoire si compte sandbox – c’est a dire gratuit) ou choisir de le recevoir par sms (si vous avez un compte starter – payant 0.50 centimes)

Authy Token (type 'sms' to request a SMS token):

 

Vous pouvez bien entendu désactiver cette authentification quand bon vous semble en désinstallant authy

sudo /usr/local/bin/authy-ssh uninstall