ssh

Kako omogućiti dvofaktorsku autentifikaciju za SSH u Fedora Linuxu

Kako omogućiti dvofaktorsku autentifikaciju za SSH u Fedora Linuxu

U svijetu informacijske tehnologije sigurnost je danas glavna briga. Svakodnevno se pokreću novi i sofisticirani napadi na organizacije. Administratori sustava koriste se na različite načine kako bi ojačali sigurnost svojih poslužitelja. Jedan od uobičajenih načina interakcije s poslužiteljem je upotreba SSH-a (ili Sosigurati SHell) protokol koji se široko koristi za daljinsko prijavljivanje na poslužitelj. Osim udaljenih prijava u ljusku, koristi se i za kopiranje datoteka između dva računala. Za razliku od ostalih metoda poput telnet, rcp, ftp itd., SSH protokol koristi mehanizam šifriranja kako bi osigurao komunikaciju između dva hosta.

Sigurnost koju pruža SSH protokol može se dodatno poboljšati dvofaktorskom autentifikacijom. To će dodatno stvoriti čvrst zid između glavnog računala i napadača. Da biste se povezali s udaljenim poslužiteljem pomoću SSH-a, trebat će vam lozinka i kontrolni kôd (ili OTP) iz aplikacije za provjeru autentičnosti koja se izvodi na vašem mobilnom uređaju. Ovo je stvarno korisno ako vam napadač ukrade lozinku, neće se moći prijaviti na vaš poslužitelj bez kontrolnog koda.

Dostupno je mnogo aplikacija za provjeru autentičnosti za mobilne uređaje sa sustavom Android ili Apple IOS. Ovaj se vodič služio aplikacijom Google Authenticator i za Fedora poslužitelj i za mobilni uređaj.

Što ćemo pokriti

Ovaj vodič vidjet će kako možemo koristiti dvofaktorsku provjeru autentičnosti sa SSH protokolom kako bismo spriječili neovlašteni pristup našoj Fedora 30 radnoj stanici. Pokušat ćemo se prijaviti na naš Fedora poslužitelj s klijentskog računala Xubuntu kako bismo provjerili radi li postavljanje kako se očekuje. Krenimo s konfiguriranjem SSH s dvofaktorskom provjerom autentičnosti.

Preduvjeti

  1. OS Fedora 30 instaliran na udaljenom poslužitelju s 'sudo' korisničkim računom.
  2. Stroj Xubuntu za pristup gore navedenom poslužitelju.
  3. Mobilni uređaj s instaliranom aplikacijom Google-Authenticator.

Pregled postavljanja

  1. Stroj Fedora 30 s IP-om: 192.168.43.92
  2. Stroj Xubuntu s IP-om: 192.168.43.71
  3. Mobilni uređaj s aplikacijom Google-Authenticator.

Korak 1. Instalirajte Google-Authenticator na Fedora 30 poslužitelj pomoću naredbe:

$ sudo dnf install -y google-authenticate

Korak 2. Pokrenite donju naredbu za pokretanje Google-autentifikatora na vašem poslužitelju:

$ google-autentifikator

Postavit će nekoliko pitanja za konfiguriranje poslužitelja za rad s vašim mobilnim uređajem:

Želite li da se tokeni provjere autentičnosti temelje na vremenu (y / n) y [ovdje unesite 'Y']

Na prozoru terminala prikazat će QR kôd; zasad drži ovaj prozor terminala otvorenim.

3. korak. Instalirajte aplikaciju Google-Authenticator na svoj mobilni uređaj i otvorite je. Sada kliknite opciju 'Skeniraj QR kôd.'Sada usmjerite svoju mobilnu kameru na skeniranje QR koda na terminalskom prozoru vašeg poslužitelja.

4. korak. Nakon skeniranja QR koda, vaš će mobilni uređaj dodati račun za vaš poslužitelj i generirati slučajni kôd koji će se mijenjati rotirajućim timerom, kao što je prikazano na donjoj slici:

Korak 5. Sada se vratite na prozor terminala poslužitelja i ovdje unesite kontrolni kôd sa svog mobilnog uređaja. Jednom kada se kôd potvrdi, generirat će skup ogrebotina. Ovi ogrebotinski kodovi mogu se koristiti za prijavu na vaš poslužitelj u slučaju da izgubite svoj mobilni uređaj. Dakle, spremite ih na neko sigurno mjesto.

Korak 6. U daljnjim će koracima postaviti nekoliko pitanja kako bi dovršio konfiguraciju. U nastavku smo dali niz pitanja i njihove odgovore za konfiguriranje postavki. Te odgovore možete promijeniti prema svojoj potrebi:

Želite li da ažuriram vaš "/ home / linuxhint /.google_authenticator "datoteka? (y / n) y [ovdje unesite 'y']
Želite li zabraniti višestruku upotrebu istog tokena za provjeru autentičnosti? Ovo vas ograničava na jednu prijavu otprilike svakih 30-ih, ali povećava šanse da primijetite ili čak spriječite napade čovjeka u sredini (g / n) y [ovdje unesite 'y']
Prema zadanim postavkama, mobilna aplikacija generira novi token svakih 30 sekundi.Kako bismo nadoknadili mogući vremenski pomak između klijenta i poslužitelja, dopuštamo dodatni token prije i nakon trenutnog vremena. To omogućuje vremenski pomak do 30 sekundi između poslužitelja za provjeru autentičnosti i klijenta. Ako imate problema s lošom sinkronizacijom vremena, možete povećati prozor sa zadane veličine od 3 dopuštena koda (jedan prethodni kôd, trenutni kôd, sljedeći kôd) na 17 dopuštenih kodova (8 prethodnih kodova, trenutni kôd i 8 sljedećih kodova). To će omogućiti vremenski pomak do 4 minute između klijenta i poslužitelja. Želite li to učiniti? (y / n) y [ovdje unesite 'y']
Ako računalo na koje se prijavljujete nije otvrdnuto od pokušaja brutalne prijave, možete omogućiti ograničenje brzine za modul za provjeru autentičnosti. Prema zadanim postavkama to ograničava napadače na najviše 3 pokušaja prijave svakih 30-ih. Želite li omogućiti ograničenje brzine? (y / n) y [ovdje unesite 'y']

Korak 7. Sada otvorite datoteku sshd_config s bilo kojim uređivačem

$ sudo vi / etc / ssh / sshd_config

i napravite sljedeće korake:

  1. Otkomentirajte i postavite PasswordAuthentication do da.
  2. Otkomentirajte i postavite ChallengeResponseAuthentication do da.
  3. Otkomentirajte i postavite UsePAM do da.

Spremite i zatvorite datoteku.

Korak 8. Zatim otvorite / etc / pam.d / sshd datoteku

$ sudo vi / etc / pam.d / sshd

i dodajte sljedeće retke ispod retka 'autentifikacija lozinke za podgrupu:

potrebno je autorizirati pam_google_authenticator.tako

Korak 9. Pokrenite i omogućite SSH uslugu na Fedora poslužitelju naredbom:

$ sudo systemctl start sshd
$ sudo systemctl omogući sshd

Svi koraci za konfiguriranje poslužitelja su sada gotovi. Sada ćemo prijeći na naš klijentski stroj, tj.e., Xubuntu, u našem slučaju.

Korak 10. Sada se pokušajte prijaviti SSH-om sa Xubuntu stroja na Fedora 30 poslužitelj:

$ ssh [zaštićen e-poštom]

Kao što vidite, SSH prvo traži lozinku poslužitelja, a zatim kontrolni kôd s vašeg mobilnog uređaja. Nakon što ste ispravno unijeli kontrolni kôd, možete se prijaviti na udaljeni Fedora poslužitelj.

Zaključak

Čestitamo, uspješno smo konfigurirali SSH pristup s dvofaktorskom provjerom autentičnosti na OS Fedora 30. Možete dalje konfigurirati SSH da koristi samo kontrolni kod za prijavu bez lozinke udaljenog poslužitelja.

Igre Kako snimiti i struji svoju igraću sesiju na Linuxu
Kako snimiti i struji svoju igraću sesiju na Linuxu
U prošlosti se igranje igara smatralo samo hobijem, ali s vremenom je igračka industrija zabilježila ogroman rast u pogledu tehnologije i broja igrača...
Igre Najbolje igre za ručno praćenje
Najbolje igre za ručno praćenje
Oculus Quest nedavno je predstavio sjajnu ideju ručnog praćenja bez kontrolera. Sa sve većim brojem igara i aktivnosti koje izvršavaju podršku bilo fo...
Igre Kako prikazati OSD prekrivač u aplikacijama i igrama na cijelom zaslonu za Linux
Kako prikazati OSD prekrivač u aplikacijama i igrama na cijelom zaslonu za Linux
Igranje igara preko cijelog zaslona ili upotreba aplikacija u režimu preko cijelog zaslona bez ometanja može vas odsjeći od relevantnih informacija o ...