Како омогућити двофакторску аутентификацију за ССХ у Федора Линук-у

У свету информационих технологија сигурност је данас главна брига. Свакодневно се покрећу нови и софистицирани напади на организације. Системски администратори користе различите начине да ојачају сигурност својих сервера. Један од уобичајених начина интеракције са сервером је коришћење ССХ (или Собезбедити СХелл) протокол који се широко користи за даљинско пријављивање на сервер. Поред удаљених пријава у љуску, користи се и за копирање датотека између два рачунара. За разлику од других метода попут телнет, рцп, фтп итд., ССХ протокол користи механизам шифровања за заштиту комуникације између два хоста.

Сигурност коју пружа ССХ протокол може се даље побољшати коришћењем двофакторске потврде идентитета. Ово ће даље створити чврст зид између рачунара домаћина и нападача. Да бисте се повезали са удаљеним сервером помоћу ССХ-а, биће вам потребна лозинка, као и верификациони код (или ОТП) из апликације за аутентификацију која се покреће на вашем мобилном уређају. Ово је заиста корисно ако вам нападач украде лозинку, неће се моћи пријавити на ваш сервер без верификационог кода.

Доступно је много апликација за утврђивање аутентичности за мобилне уређаје који користе Андроид или Аппле ИОС. Овај водич је користио апликацију Гоогле Аутхентицатор и за Федора сервер и за мобилни уређај.

Шта ћемо покрити

Овај водич ће видети како можемо да користимо двофакторску потврду идентитета са ССХ протоколом да бисмо спречили неовлашћени приступ нашој Федора 30 радној станици. Покушаћемо да се пријавимо на наш Федора сервер са клијентске машине Ксубунту да бисмо видели да ли подешавање ради како се очекивало. Почнимо да конфигуришемо ССХ са двофакторском потврдом идентитета.

Предуслови

1. Федора 30 ОС инсталиран на удаљеном серверу са 'судо' корисничким налогом.
2. Машина Ксубунту за приступ горе наведеном серверу.
3. Мобилни уређај са инсталираном апликацијом Гоогле-Аутхентицатор.

Преглед подешавања

1. Федора 30 машина са ИП: 192.168.43.92
2. Машина Ксубунту са ИП-ом: 192.168.43.71
3. Мобилни уређај са апликацијом Гоогле-Аутхентицатор.

Корак 1. Инсталирајте Гоогле-Аутхентицатор на Федора 30 сервер помоћу наредбе:

$ судо днф инсталл -и гоогле-аутхентицатион

Корак 2. Покрените доњу команду да бисте покренули Гоогле-аутентификатор на вашем серверу:

$ гоогле-аутентификатор

Постављаће вам неколико питања за конфигурисање сервера за рад са вашим мобилним уређајем:

Да ли желите да се токени за потврду идентитета заснивају на времену (и / н) и [овде унесите „И“]

На прозору терминала ће приказати КР код; остави овај прозор терминала за сада отворен.

3. корак. Инсталирајте апликацију Гоогле-Аутхентицатор на свој мобилни уређај и отворите је. Сада кликните на опцију „Скенирај КР код.„Усредсредите своју мобилну камеру на скенирање КР кода на терминалском прозору вашег сервера.

4. корак. Након скенирања КР кода, ваш мобилни уређај ће додати рачун за ваш сервер и генерисати случајни код који ће се стално мењати ротирајућим тајмером, као што је приказано на доњој слици:

Корак 5. Сада се вратите на прозор терминала сервера и овде унесите верификациони код са свог мобилног уређаја. Једном када се код потврди, генерисаће скуп огреботина. Ови кодови огреботина могу се користити за пријављивање на сервер у случају да изгубите мобилни уређај. Дакле, сачувајте их на неком сигурном месту.

Корак 6. У даљим корацима поставиће неколико питања како би довршио конфигурацију. У наставку смо дали низ питања и њихове одговоре за конфигурисање подешавања. Те одговоре можете променити према својој потреби:

Да ли желите да ажурирам ваш "/ хоме / линукхинт /.гоогле_аутхентицатор "? (и / н) и [Овде унесите 'и']
Да ли желите да забраните вишеструку употребу истог токена за потврду идентитета? Ово вас ограничава на једно пријављивање на сваких 30-их, али повећава шансе да приметите или чак спречите нападе човека у средини (и / н) и [овде унесите 'и']
Мобилна апликација подразумевано генерише нови токен сваких 30 секунди.Да бисмо надокнадили могући временски несклад између клијента и сервера, дозвољавамо додатни токен пре и после тренутног времена. Ово омогућава временски искорак до 30 секунди између сервера за потврду идентитета и клијента. Ако имате проблема са лошом временском синхронизацијом, можете повећати прозор са подразумеване величине од 3 дозвољена кода (један претходни код, тренутни код, следећи код) на 17 дозвољених кодова (8 претходних кодова, тренутни код и 8 следећих кодова). То ће омогућити временски искорак између клијента и сервера до 4 минута. Да ли желите да то учините? (и / н) и [Овде унесите 'и']
Ако рачунар на који се пријављујете није очврснуо од покушаја бруталне пријаве, можете омогућити ограничење брзине за модул за потврду идентитета. Подразумевано ово ограничава нападаче на највише 3 покушаја пријаве сваких 30-их. Да ли желите да омогућите ограничење брзине? (и / н) и [Овде унесите 'и']

Корак 7. Сада отворите датотеку ссхд_цонфиг било којим уређивачем

$ судо ви / етц / ссх / ссхд_цонфиг

и урадите следеће кораке:

1. Откоментирајте и подесите ПассвордАутхентицатион да да.
2. Откоментирајте и подесите ЦхалленгеРеспонсеАутхентицатион да да.
3. Откоментирајте и подесите УсеПАМ да да.

Сачувајте и затворите датотеку.

Корак 8. Затим отворите / етц / пам.д / ссхд датотека

$ судо ви / етц / пам.д / ссхд

и додајте следеће редове испод реда 'аутх субстацк лозинка аутх:

ауторизација потребна пам_гоогле_аутхентицатор.тако

Корак 9. Покрените и омогућите ССХ услугу на Федора серверу наредбом:

$ судо системцтл старт ссхд
$ судо системцтл омогући ссхд

Сви кораци за конфигурисање сервера су сада готови. Сада ћемо прећи на машину за клијента, тј.е., Ксубунту, у нашем случају.

Корак 10. Сада се покушајте пријавити са ССХ са Ксубунту машине на Федора 30 сервер:

$ ссх [заштићен е-поштом]

Као што видите, ССХ прво тражи лозинку сервера, а затим верификациони код са вашег мобилног уређаја. Када правилно унесете верификациони код, можете се пријавити на удаљени Федора сервер.

Закључак

Честитамо, успешно смо конфигурисали ССХ приступ са двофакторском потврдом идентитета на Федора 30 ОС. Можете даље да конфигуришете ССХ да користи само верификациони код за пријаву без лозинке за удаљени сервер.