ssh

Kā iespējot divfaktoru autentifikāciju SSH Fedora Linux

Kā iespējot divfaktoru autentifikāciju SSH Fedora Linux

Informācijas tehnoloģiju pasaulē drošība mūsdienās rada lielas bažas. Katru dienu pret organizācijām tiek veikti jauni un sarežģīti uzbrukumi. Sistēmas administratori izmanto dažādus veidus, kā uzlabot serveru drošību. Viens no izplatītākajiem veidiem, kā mijiedarboties ar serveri, ir SSH (vai Sekūra SHell) protokols, ko plaši izmanto attālinātai reģistrēšanai serverī. Papildus attālajiem čaumalas pieteikšanās gadījumiem to izmanto arī failu kopēšanai starp diviem datoriem. Atšķirībā no citām metodēm, piemēram, telnet, rcp, ftp utt., SSH protokols izmanto šifrēšanas mehānismu, lai nodrošinātu saziņu starp diviem resursdatoriem.

SSH protokola nodrošināto drošību var vēl vairāk uzlabot, izmantojot divu faktoru autentifikāciju. Tas vēl vairāk ieliks spēcīgu sienu starp jūsu resursdatoru un uzbrucējiem. Lai izveidotu savienojumu ar savu attālo serveri, izmantojot SSH, jums būs nepieciešama parole, kā arī verifikācijas kods (vai OTP) no autentifikācijas lietojumprogrammas, kas darbojas jūsu mobilajā ierīcē. Tas ir patiešām noderīgi, ja uzbrucējs nozog jūsu paroli, un bez verifikācijas koda viņš nevarēs pieteikties jūsu serverī.

Mobilajām ierīcēm, kurās darbojas Android vai Apple IOS, ir pieejamas daudzas autentifikācijas lietojumprogrammas. Šajā ceļvedī ir izmantota Google autentifikatora lietojumprogramma gan Fedora serverim, gan mobilajai ierīcei.

Ko mēs aptversim

Šajā ceļvedī būs redzams, kā mēs varam izmantot divu faktoru autentifikāciju ar SSH protokolu, lai novērstu nesankcionētu piekļuvi mūsu Fedora 30 darbstacijai. Mēs centīsimies pieteikties savā Fedora serverī no Xubuntu klienta mašīnas, lai redzētu, vai iestatīšana darbojas, kā paredzēts. Sāksim konfigurēt SSH ar divu faktoru autentifikāciju.

Priekšnoteikumi

  1. Fedora 30 OS, kas instalēta attālajā serverī ar “sudo” lietotāja kontu.
  2. Xubuntu mašīna, lai piekļūtu iepriekš minētajam serverim.
  3. Mobilā ierīce, kurā ir instalēta lietojumprogramma Google-Authenticator.

Iestatīšanas pārskats

  1. Fedora 30 mašīna ar IP: 192.168. lpp.43.92
  2. Xubuntu mašīna ar IP: 192.168. lpp.43.71
  3. Mobilā ierīce ar lietojumprogrammu Google-Authenticator.

1. solis. Instalējiet Google-Authenticator Fedora 30 serverī, izmantojot komandu:

$ sudo dnf install -y google-autentifikators

2. solis. Palaidiet zemāk esošo komandu, lai serverī palaistu Google autentifikatoru:

$ google-autentifikators

Tas uzdos dažus jautājumus, lai konfigurētu serveri darbam ar jūsu mobilo ierīci:

Vai vēlaties, lai autentifikācijas marķieri būtu balstīti uz laiku (jā / n) y [šeit ievadiet “Y”]

Termināla logā tas parādīs QR kodu; pagaidām turiet šo termināla logu atvērtu.

3. solis. Mobilajā ierīcē instalējiet lietotni Google Authenticator un atveriet to. Tagad noklikšķiniet uz opcijas 'Skenēt QR kodu.Tagad koncentrējiet savu mobilo kameru uz QR koda skenēšanu servera termināļa logā.

4. solis. Pēc QR koda skenēšanas jūsu mobilā ierīce pievienos jūsu servera kontu un ģenerēs nejaušu kodu, kas nemitīgi mainīsies ar pagriežamu taimeri, kā parādīts zemāk esošajā attēlā:

5. solis. Tagad dodieties atpakaļ uz servera termināla logu un šeit ievadiet verifikācijas kodu no savas mobilās ierīces. Kad kods ir apstiprināts, tas ģenerēs nokasāmo kodu kopu. Šos skrāpējumu kodus var izmantot, lai pieteiktos serverī, ja pazaudējat savu mobilo ierīci. Tātad, saglabājiet tos kādā drošā vietā.

6. solis. Turpmākajās darbībās tā uzdos dažus jautājumus, lai pabeigtu konfigurēšanu. Tālāk mēs esam norādījuši jautājumu kopu un to atbildes, lai konfigurētu iestatīšanu. Šīs atbildes varat mainīt atbilstoši savām vajadzībām:

Vai vēlaties, lai es atjauninātu jūsu "/ home / linuxhint /.google_authenticator "failu? (jā / n) y [šeit ievadiet “y”]
Vai vēlaties neatļaut vairāku viena autentifikācijas marķiera lietojumu? Tas jūs ierobežo ar vienu pieteikšanos apmēram ik pēc 30 gadiem, taču tas palielina jūsu iespējas pamanīt vai pat novērst cilvēka uzbrukumus (jā / n) y [šeit ievadiet “y”]
Pēc noklusējuma mobilā lietotne ik pēc 30 sekundēm ģenerē jaunu marķieri.Lai kompensētu iespējamo laika nesaskaņu starp klientu un serveri, mēs atļaujam papildu marķieri pirms un pēc pašreizējā laika. Tas ļauj noteiktā laikā līdz 30 sekundēm novirzīties starp autentifikācijas serveri un klientu. Ja rodas problēmas ar sliktu laika sinhronizāciju, varat palielināt loga noklusējuma lielumu - 3 atļautie kodi (viens iepriekšējais kods, pašreizējais kods, nākamais kods) līdz 17 atļautajiem kodiem (8 iepriekšējie kodi, pašreizējais kods un 8 nākamie kodi). Tas ļaus uz laiku līdz 4 minūtēm novirzīties starp klientu un serveri. Vai vēlaties to darīt? (jā / n) y [šeit ievadiet “y”]
Ja dators, kurā piesakāties, nav nocietināts pret rupja spēka pieteikšanās mēģinājumiem, varat iespējot autentifikācijas moduļa ātruma ierobežošanu. Pēc noklusējuma tas uzbrucējiem ierobežo ne vairāk kā 3 pieteikšanās mēģinājumus ik pēc 30 gadiem. Vai vēlaties iespējot likmes ierobežošanu? (jā / n) y [šeit ievadiet “y”]

7. solis. Tagad atveriet failu sshd_config ar jebkuru redaktoru

$ sudo vi / etc / ssh / sshd_config

un veiciet šādas darbības:

  1. Nekomentējiet un iestatiet Paroles autentifikācija uz jā.
  2. Nekomentējiet un iestatiet ChallengeResponseAuthentification uz jā.
  3. Nekomentējiet un iestatiet Izmantojiet PAM uz jā.

Saglabājiet un aizveriet failu.

8. solis. Pēc tam atveriet / etc / pam.d / sshd fails

$ sudo vi / etc / pam.d / sshd

un pievienojiet šādas rindas zem līnijas "auth pakotne parole auth:

Autors ir nepieciešams pam_google_authenticator.tātad

9. solis. Sāciet un iespējojiet SSH pakalpojumu Fedora serverī ar komandu:

$ sudo systemctl start sshd
$ sudo systemctl iespējojiet sshd

Tagad visas servera konfigurēšanas darbības ir veiktas. Tagad mēs pāriet uz mūsu klientu mašīnu, t.i.e., Xubuntu, mūsu gadījumā.

10. solis. Tagad mēģiniet pieteikties ar SSH no Xubuntu mašīnas uz Fedora 30 serveri:

$ ssh [e-pasts aizsargāts]

Kā redzat, SSH vispirms no jūsu mobilās ierīces prasa servera paroli un pēc tam verifikācijas kodu. Kad esat pareizi ievadījis verifikācijas kodu, varat pieteikties Fedora attālajā serverī.

Secinājums

Apsveicam! Mēs esam veiksmīgi konfigurējuši SSH piekļuvi ar divu faktoru autentifikāciju Fedora 30 OS. Jūs varat konfigurēt SSH, lai pieteiktos bez attālā servera paroles, lai izmantotu tikai verifikācijas kodu.

Spēles Tomb Raider for Linux apmācība
Tomb Raider for Linux apmācība
Tomb Raider ēna ir divpadsmitais papildinājums Tomb Raider sērijai - darbības piedzīvojumu spēļu franšīzei, kuru izveidoja Eidos Montreal. Spēli gan k...
Spēles Kā palielināt FPS Linux?
Kā palielināt FPS Linux?
FPS apzīmē Kadri sekundē. FPS uzdevums ir izmērīt kadru ātrumu video atskaņošanā vai spēļu izrādēs. Vienkāršos vārdos nepārtrauktu pilnekrāna attēlu s...
Spēles Populārākās Oculus App Lab spēles
Populārākās Oculus App Lab spēles
Ja esat Oculus austiņu īpašnieks, jums ir jāsazinās par sānu ielādi. Sānu ielāde ir process, kurā austiņās tiek instalēts saturs, kas nav veikals. Sid...