Les bonnes pratiques de sécurité pour SSH par Mozilla

Bonnes pratiques de sécurité pour SSH

Pour activer l'authentification Two-Factor sur un serveur Debian:

$ apt-get install libpam-google-authenticator
$ echo "auth [success=done new_authtok_reqd=done default=die] pam_google_authenticator.so nullok" >> /etc/pam.d/sshd
$ echo "ChallengeResponseAuthentication yes" >> /etc/ssh/sshd_config
$ echo "AuthenticationMethods publickey,keyboard-interactive" >> /etc /ssh/sshd_config
$ apt-get install ntp
$ service ssh restart
$ google-authenticator -l 'username@servername'

ATTENTION:

• auth [success=done new_authtok_reqd=done default=die] pam_google_authenticator.so nullokdoit être placé au tout début de /etc/pam.d/sshd
• Si AuthenticationMethods publickey,keyboard-interactive" n'est pas ajouté, il est possible de se connecter au serveur avec le pin uniquement. Cette ligne nécessite d'avoir la clé privée et le pin.
• L'installation de NTP est importante pour avoir a même heure sur le client et le serveur.

EDIT:
Playbook Ansible: twofactorssh.yml

Bonnes pratiques de sécurité à mettre en place sur debian

(via https://fralef.me/links/?myRjhw)