Kif Twaqqaf l-Awtentikazzjoni ta' Żewġ Fatturi għal SSH fuq Fedora
Kuljum jidher li hemm ħafna ksur tas-sigurtà rrappurtati fejn id-dejta tagħna tkun fil-periklu. Minkejja l-fatt li SSH huwa mod sigur biex tiġi stabbilita konnessjoni mill-bogħod għal sistema Linux, iżda xorta waħda, utent mhux magħruf jista’ jikseb aċċess għall-magna Linux tiegħek jekk jisirqu ċ-ċwievet SSH tiegħek, anki jekk tiddiżattiva passwords jew tippermetti biss konnessjonijiet SSH fuq. ċwievet pubbliċi u privati.
F'dan l-artikolu, se nispjegaw kif twaqqaf awtentikazzjoni b'żewġ fatturi (2FA) għal SSH fuq distribuzzjoni Fedora Linux billi tuża Google Authenticator biex taċċessa sistema Linux remota b'mod aktar sigur billi tipprovdi TOTP (The Time-based One-time Password) numru ġġenerat b'mod każwali minn applikazzjoni awtentikatur fuq apparat mobbli.
Innota li, tista 'tuża kwalunkwe applikazzjoni ta' awtentikazzjoni bidirezzjonali għat-tagħmir mobbli tiegħek li hija kompatibbli mal-algoritmu TOTP. Hemm bosta apps b'xejn disponibbli għal Android jew IOS li jappoġġjaw TOTP u Google Authenticator, iżda dan l-artikolu juża Google Authenticator bħala eżempju.
Installazzjoni ta 'Google Authenticator fuq Fedora
L-ewwel, installa l-applikazzjoni Google Authenticator fuq is-server Fedora tiegħek billi tuża l-kmand dnf li ġej.
$ sudo dnf install -y google-authenticator
Ladarba Google Authenticator jiġi installat, issa tista' tħaddem l-applikazzjoni.
$ google-authenticator
L-applikazzjoni tqanqlek b'numru ta' mistoqsijiet. Is-snippets li ġejjin juruk kif twieġeb għal setup raġonevolment sigur.
Do you want authentication tokens to be time-based (y/n)y
Do you want me to update your "/home/user/.google_authenticator" file (y/n)?y
L-applikazzjoni tagħtik ċavetta sigrieta, kodiċi ta 'verifika, u kodiċi ta' rkupru. Żomm dawn iċ-ċwievet f'post sikur, peress li dawn iċ-ċwievet huma l-uniku mod biex taċċessa s-server tiegħek jekk titlef it-tagħmir mobbli tiegħek.
Twaqqif tal-Awtentikazzjoni tal-Mowbajl
Fuq il-mowbajl tiegħek, mur fil-ħanut tal-app Google Play jew iTunes u fittex Google Authenticator u installa l-applikazzjoni.
Issa tiftaħ l-applikazzjoni Google Authenticator fuq il-mowbajl tiegħek u skennja l-kodiċi QR murija fuq l-iskrin tat-terminal Fedora. Ladarba l-iskannjar tal-kodiċi QR jitlesta, ikollok numru ġġenerat bl-addoċċ mill-applikazzjoni tal-awtentikatur u tuża dan in-numru kull darba li tikkonnettja mas-server Fedora tiegħek mill-bogħod.
Lesti l-Konfigurazzjoni tal-Google Authenticator
L-applikazzjoni Google Authenticator tqajjem aktar mistoqsijiet u l-eżempju li ġej juri kif twieġebhom biex tissettja konfigurazzjoni sigura.
Issa trid tikkonfigura SSH biex tuża l-awtentikazzjoni ġdida f'żewġ direzzjonijiet kif spjegat hawn taħt.
Ikkonfigura SSH biex Uża Google Authenticator
Biex tikkonfigura SSH biex tuża l-applikazzjoni awtentikatur, l-ewwel jeħtieġ li jkollok konnessjoni SSH li taħdem billi tuża ċwievet SSH pubbliċi, peress li se nkunu qed inneħħu l-konnessjonijiet tal-password.
Iftaħ il-fajl /etc/pam.d/sshd fuq is-server tiegħek.
$ sudo vi /etc/pam.d/sshd
Ikkummenta l-linja auth substack password-auth
fil-fajl.
#auth substack password-auth
Sussegwentement, poġġi l-linja li ġejja sa l-aħħar tal-fajl.
auth sufficient pam_google_authenticator.so
Issejvja u agħlaq il-fajl.
Sussegwentement, iftaħ u editja l-fajl /etc/ssh/sshd_config.
$ sudo vi /etc/ssh/sshd_config
Fittex il-linja ChallengeResponseAuthentication
u biddelha għal iva
.
ChallengeResponseAuthentication yes
Fittex il-linja PasswordAuthentication
u biddelha għal no
.
PasswordAuthentication no
Sussegwentement, poġġi l-linja li ġejja sa l-aħħar tal-fajl.
AuthenticationMethods publickey,password publickey,keyboard-interactive
Issejvja u agħlaq il-fajl, u mbagħad ibda mill-ġdid SSH.
$ sudo systemctl restart sshd
Ittestjar ta 'Awtentikazzjoni b'żewġ fatturi fuq Fedora
Issa tipprova tikkonnettja mas-server tiegħek mill-bogħod, se titlobek biex iddaħħal kodiċi ta 'verifika.
$ ssh [email Verification code:
Il-kodiċi ta' verifika jiġi ġġenerat b'mod każwali fuq il-mowbajl tiegħek mill-applikazzjoni awtentikatur tiegħek. Peress li l-kodiċi ġġenerat jinbidel kull ftit sekondi, jeħtieġ li tiddaħħal malajr qabel ma toħloq waħda ġdida.
Jekk iddaħħal il-kodiċi ta' verifika ħażin, ma tkunx tista' tikkonnettja mas-sistema, u tirċievi żball ta' permess miċħud li ġej.
$ ssh [email Verification code: Verification code: Verification code: Permission denied (keyboard-interactive).
Bl-implimentazzjoni ta' din l-awtentikazzjoni faċli f'żewġ direzzjonijiet, żidt saff żejjed ta' sigurtà lis-sistema tiegħek u kif ukoll dan jagħmilha aktar diffiċli għal utent mhux magħruf biex jikseb aċċess għas-server tiegħek.