このブログを検索

この記事の内容は、個人の見解、検証の範囲のものであり、誤りがある可能性があります。
個人の責任において情報活用をお願いします。


2023年2月19日日曜日

【VyOS】ログイン時の2要素認証を試してみた


VyOSのサイトを久しぶりに眺めていたら、Google Authenticatorなどで利用されている「TOTP(時間ベースのワンタイム パスワード)」による2要素認証が利用できるようになったというアップデート情報を見つけました。


VyOS Project November 2022 Update

https://blog.vyos.io/vyos-project-november-2022-update

Support for Two Factor Authentication for CLI access via Google Authenticator

https://vyos.dev/T874


どのように利用できるのか、簡単に試してみました。

試したときのイメージは以下になります。

Version: VyOS 1.4-rolling-202302150317


VyOS側の設定は、以下のコマンドを設定するだけです。

set system login user <user> authentication otp key <key>

set system login user <user> authentication otp rate_limit <rate_limit> 

set system login user <user> authentication otp rate_time <rate_time> 

set system login user <user> authentication otp window_size <window_size>


<注意点など>

・初めて試すときはログインできなくなっても困らない環境やアカウントで試してください 

 私は最初に試したときに確認コードが合わずログインできなくなりました

・keyに設定できる文字列はBase32かつ26文字以上が必須条件です。

・Base32はA~Z、2~7の文字列を利用します。(OやIは避けた方が良いかもしれません)


今回試したときは、以下のように設定しました。

set system login user vyos authentication otp key '234567abcdefg234567abcdefg'

set system login user vyos authentication otp rate_limit 3

set system login user vyos authentication otp rate_time 30

set system login user vyos authentication otp window_size 3


これでCommitすればVyOS側の設定は完了です。

今回の確認では、Google Authenticatorを利用します。

Google Authenticatorの設定は、以下となります。

  1. スマートフォンアプリのGoogle Authenticatorを起動
  2. 追加アイコンをタップ
  3. セットアップキーを入力
  4. 以下のパラメーターを設定
    • アカウント名:任意
    • キー:VyOSのotp keyに設定した文字列
    • キーの種類:時間ベース
  5. 追加をタップ

設定は以上です。

設定されたVyOSにログインしてみましょう。

SSHでVyOSにログインすると、パスワード認証を通過したあとに以下のように認証コードの入力が求められます。


Google Authenticatorアプリに表示される認証コードを入力してOKをクリックするとこのようにログインできます。

コンソールログインのときも同様に認証コードが必要になります。


ログイン時のセキュリティを強化したい場合には利用すると良いかもしれません。

それでは。