ssh

Ako povoliť dvojfaktorové overenie pre SSH vo Fedora Linux

Ako povoliť dvojfaktorové overenie pre SSH vo Fedora Linux

Vo svete informačných technológií je v dnešnej dobe hlavným problémom bezpečnosť. Každý deň sú podnikané nové a sofistikované útoky. Správcovia systému používajú na zvýšenie bezpečnosti svojich serverov rôzne spôsoby. Jedným z bežných spôsobov interakcie so serverom je použitie SSH (alebo Sliečivo SHell) protokol, ktorý sa často používa na vzdialené prihlásenie na server. Okrem vzdialeného prihlásenia do shellu sa používa aj na kopírovanie súborov medzi dvoma počítačmi. Na rozdiel od iných metód ako telnet, rcp, ftp atď., Protokol SSH používa na zabezpečenie komunikácie medzi dvoma hostiteľmi šifrovací mechanizmus.

Zabezpečenie poskytované protokolom SSH možno ďalej zvýšiť použitím dvojfaktorovej autentifikácie. To ďalej vytvorí silný múr medzi hostiteľským počítačom a útočníkmi. Ak sa chcete pripojiť k vzdialenému serveru pomocou protokolu SSH, budete potrebovať heslo a verifikačný kód (alebo OTP) z autentifikačnej aplikácie spustenej na vašom mobilnom zariadení. To je naozaj užitočné, ak útočník ukradne vaše heslo, bez overovacieho kódu sa nebude môcť prihlásiť na váš server.

Pre mobilné zariadenia so systémom Android alebo Apple IOS je k dispozícii veľa aplikácií autentifikátora. Táto príručka používa aplikáciu Google Authenticator pre server Fedora aj pre mobilné zariadenie.

Čo pokryjeme

Táto príručka uvidí, ako môžeme pomocou dvojfaktorovej autentifikácie pomocou protokolu SSH zabrániť neoprávnenému prístupu k našej pracovnej stanici Fedora 30. Pokúsime sa prihlásiť na náš server Fedora z klientskeho stroja Xubuntu, aby sme zistili, či nastavenie funguje podľa očakávaní. Začnime konfigurovať SSH s dvojfaktorovou autentifikáciou.

Predpoklady

  1. Operačný systém Fedora 30 nainštalovaný na vzdialenom serveri s používateľským účtom „sudo“.
  2. Stroj Xubuntu na prístup k vyššie uvedenému serveru.
  3. Mobilné zariadenie s nainštalovanou aplikáciou Google Authenticator.

Prehľad nastavenia

  1. Stroj Fedora 30 s IP: 192.168.43.92
  2. Stroj Xubuntu s IP: 192.168.43.71
  3. Mobilné zariadenie s aplikáciou Google-Authenticator.

Krok 1. Nainštalujte aplikáciu Google-Authenticator na server Fedora 30 pomocou príkazu:

$ sudo dnf install -y google-autenticator

Krok 2. Spustením nižšie uvedeného príkazu spustíte aplikáciu Google-Authenticator na vašom serveri:

$ google-autentifikátor

Položí niekoľko otázok týkajúcich sa konfigurácie servera tak, aby pracoval s vašim mobilným zariadením:

Chcete, aby autentifikačné tokeny boli založené na čase (y / n) y [Sem zadajte „Y“]

V okne terminálu zobrazí QR kód; nechajte toto okno terminálu zatiaľ otvorené.

Krok 3. Nainštalujte si aplikáciu Google Authenticator do svojho mobilného zariadenia a otvorte ju. Teraz kliknite na možnosť „Naskenovať QR kód.„Teraz zamerajte svoj mobilný fotoaparát na skenovanie QR kódu v okne terminálu vášho servera.

Krok 4. Po naskenovaní QR kódu vaše mobilné zariadenie pridá účet pre váš server a vygeneruje náhodný kód, ktorý sa bude neustále meniť pomocou rotujúceho časovača, ako je to znázornené na obrázku nižšie:

Krok 5. Teraz sa vráťte späť do okna terminálu servera a zadajte sem verifikačný kód z mobilného zariadenia. Po potvrdení kódu vygeneruje množinu stieracích kódov. Tieto stieracie kódy je možné použiť na prihlásenie na server v prípade straty mobilného zariadenia. Takže ich uložte na nejaké bezpečné miesto.

Krok 6. V ďalších krokoch bude položená niekoľko otázok na dokončenie konfigurácie. Nižšie uvádzame súbor otázok a ich odpovede na konfiguráciu nastavenia. Tieto odpovede môžete podľa potreby zmeniť:

Chcete, aby som aktualizoval váš „/ home / linuxhint /.súbor google_authenticator? (y / n) y [Sem zadajte „y“]
Chcete zakázať viacnásobné použitie rovnakého autentifikačného tokenu? Týmto sa obmedzíte na jedno prihlásenie každých 30 s, ale zvýši sa tak vaša šanca spozorovať alebo dokonca zabrániť útokom typu man-in-the-middle (y / n) y [Sem zadajte „y“]
Mobilná aplikácia predvolene generuje nový token každých 30 sekúnd.Aby sme vyrovnali možné časové skreslenie medzi klientom a serverom, povoľujeme pred a po aktuálnom čase ďalší token. To umožňuje časové skreslenie medzi autentifikačným serverom a klientom až 30 sekúnd. Ak narazíte na problémy so slabou časovou synchronizáciou, môžete okno zväčšiť z jeho predvolenej veľkosti na 3 povolené kódy (jeden predchádzajúci kód, aktuálny kód, ďalší kód) na 17 povolených kódov (8 predchádzajúcich kódov, aktuálny kód a ďalších 8 kódov). Umožní to časové skreslenie medzi klientom a serverom až 4 minúty. Chceš to urobiť?? (y / n) y [Sem zadajte „y“]
Ak počítač, do ktorého sa prihlasujete, nie je odolný voči pokusom o prihlásenie hrubou silou, môžete povoliť obmedzenie rýchlosti pre autentifikačný modul. Predvolene to obmedzuje útočníkov na maximálne 3 pokusy o prihlásenie každých 30 s. Chcete povoliť obmedzenie rýchlosti?? (y / n) y [Sem zadajte „y“]

Krok 7. Teraz otvorte súbor sshd_config v ľubovoľnom editore

$ sudo vi / etc / ssh / sshd_config

a vykonajte tieto kroky:

  1. Odkomentujte a nastavte Overenie hesla áno.
  2. Odkomentujte a nastavte ChallengeResponseAuthentication áno.
  3. Odkomentujte a nastavte UsePAM áno.

Uložte a zatvorte súbor.

Krok 8. Ďalej otvorte / etc / pam.súbor d / sshd

$ sudo vi / etc / pam.d / sshd

a pridajte nasledujúce riadky pod riadok 'heslo pre podbalenie:

vyžaduje sa autorizácia pam_google_authenticator.tak

Krok 9. Spustite a povoľte službu SSH na serveri Fedora pomocou príkazu:

$ sudo systemctl start sshd
$ sudo systemctl povoliť sshd

Všetky kroky na konfiguráciu servera sú teraz hotové. Teraz prejdeme k nášmu klientskemu stroju, t.j.e., Xubuntu, v našom prípade.

Krok 10. Teraz sa pokúste prihlásiť pomocou SSH zo stroja Xubuntu na server Fedora 30:

$ ssh [chránený e-mailom]

Ako vidíte, SSH najskôr žiada o heslo servera a potom overovací kód z vášho mobilného zariadenia. Po správnom zadaní overovacieho kódu sa môžete prihlásiť na vzdialený server Fedora.

Záver

Gratulujeme, v systéme Fedora 30 sme úspešne nakonfigurovali prístup SSH s dvojfaktorovou autentifikáciou. Ďalej môžete nakonfigurovať SSH tak, aby sa na prihlásenie bez hesla vzdialeného servera používal iba overovací kód.

Trackpad a ukazovateľ myši AppyMouse na obrazovke pre tablety so systémom Windows
Používateľom tabletov často chýba ukazovateľ myši, najmä keď notebooky bežne používajú. Dotykové smartphony a tablety majú veľa výhod a jediným obmedz...
Stredné tlačidlo myši nefunguje v systéme Windows 10
The stredné tlačidlo myši pomáha vám prechádzať dlhé webové stránky a obrazovky s množstvom údajov. Ak sa to zastaví, budete nakoniec používať klávesn...
Ako zmeniť ľavé a pravé tlačidlo myši na počítači so systémom Windows 10
Je úplnou normou, že všetky zariadenia počítačových myší sú ergonomicky navrhnuté pre pravákov. Existujú však dostupné myšacie zariadenia, ktoré sú šp...