Phenquestions
Infotehnoloogia maailmas on turvalisus tänapäeval suur probleem. Iga päev korraldatakse organisatsioonide vastu uusi ja keerukaid rünnakuid. Süsteemiadministraatorid kasutavad oma serverite turvalisuse tugevdamiseks erinevaid viise. Üks levinumaid viise serveriga suhtlemiseks on SSH (või Secure SHell) protokoll, mida kasutatakse laialdaselt serverisse logimiseks. Lisaks kaug-shell sisselogimistele kasutatakse seda ka failide kopeerimiseks kahe arvuti vahel. Erinevalt teistest meetoditest nagu telnet, rcp, ftp jne., SSH-protokoll kasutab kahe hosti vahelise side kindlustamiseks krüptimismehhanismi.
SSH-protokolli pakutavat turvalisust saab veelgi parandada, kasutades kaheastmelist autentimist. See paneb teie perearvuti ja ründajate vahele veelgi tugeva seina. SSH-ga kaugserveriga ühenduse loomiseks vajate mobiilseadmes töötava autentimisrakenduse parooli ja kinnituskoodi (või OTP-d). See on tõesti kasulik, kui ründaja varastab teie parooli, ei saa ta teie kinnituskoodita teie serverisse sisse logida.
Androidi või Apple IOS-i töötavate mobiilseadmete jaoks on saadaval palju autentimisrakendusi. Selles juhendis on nii Fedora serveri kui ka mobiilseadme jaoks kasutatud rakendust Google Authenticator.
Mida me kajastame
Selles juhendis näeme, kuidas saame SSH-protokolliga kaheastmelist autentimist kasutada volitamata juurdepääsu takistamiseks meie Fedora 30 tööjaamale. Püüame sisse logida oma Fedora serverisse Xubuntu kliendimasinast, et näha, kas seadistamine töötab ootuspäraselt. Alustame SSH konfigureerimist kahefaktorilise autentimisega.
Eeldused
- Fedora 30 OS, mis on installitud kaugserverisse sudo kasutajakontoga.
- Xubuntu masin ülaltoodud serverile juurdepääsemiseks.
- Mobiilseade, millele on installitud rakendus Google-Authenticator.
Seadistamise ülevaade
- Fedora 30 masin IP-ga: 192.168.43.92
- Xubuntu masin IP-ga: 192.168.43.71
- Mobiilseade rakendusega Google-Authenticator.
Samm 1. Installige Google-Authenticator Fedora 30 serverisse käsuga:
$ sudo dnf install -y google-autentija
2. samm. Google Authenticatori käivitamiseks oma serveris käivitage järgmine käsk:
$ google-autentijaSee esitab mõned küsimused serveri konfigureerimiseks teie mobiilseadmega töötamiseks:
Kas soovite, et autentimismärgid oleksid ajapõhised (jah / n) y [sisestage siia 'Y']See kuvab terminaliaknas QR-koodi; hoia see terminaliaken praegu lahti.
3. samm. Installige oma mobiilseadmesse rakendus Google-Authenticator ja avage see. Nüüd klõpsake valikut 'QR-koodi skannimine.Nüüd keskenduge oma mobiilikaamerale QR-koodi skannimisele oma serveri terminaliaknas.
4. samm. Pärast QR-koodi skannimist lisab teie mobiilseade teie serverile konto ja genereerib juhusliku koodi, mis muutub pööratava taimeriga, nagu on näidatud alloleval pildil:
5. samm. Nüüd minge tagasi oma serveri terminaliaknasse ja sisestage siia oma mobiilseadme kinnituskood. Kui kood on kinnitatud, genereerib see kraapimiskoodi. Neid kriimukoode saab kasutada oma serverisse sisselogimiseks juhul, kui kaotate oma mobiilseadme. Niisiis, salvestage need kindlasse kohta.
6. samm. Edasistes toimingutes küsib see seadistamise lõpuleviimiseks mõningaid küsimusi. Seadistamise seadistamiseks oleme allpool esitanud küsimuste komplekti ja nende vastused. Neid vastuseid saate vastavalt vajadusele muuta:
Kas soovite, et värskendaksin teie faili "/ home / linuxhint /.google_authenticator "fail? (jah / n) y [siia sisestage 'y']Kas soovite keelata sama autentimismärgi mitu kasutamist? See piirab teid ühe sisselogimisega umbes iga 30ndate järel, kuid see suurendab teie võimalusi märgata või isegi ära hoida mehe keskel rünnakuid (jah / n) y [Sisestage siia 'y']
Vaikimisi genereerib mobiilirakendus iga 30 sekundi tagant uue loa.Kliendi ja serveri vahelise võimaliku ajanihke kompenseerimiseks lubame enne ja pärast praegust kellaaega lisaloa. See võimaldab autentimisserveri ja kliendi vahel aega nihkuda kuni 30 sekundit. Kui teil on probleeme kehva aja sünkroonimisega, saate akna vaikimisi suurusega 3 lubatud koodi (üks eelmine kood, praegune kood ja järgmine kood) suurendada 17 lubatud koodini (8 eelmist koodi, praegune kood ja 8 järgmist koodi). See võimaldab kliendi ja serveri vahel ajavigastust kuni 4 minutit. Kas soovite seda teha? (jah / n) y [siia sisestage 'y']
Kui sisselogitav arvuti pole karmi jõuga sisselogimiskatsete eest karastatud, saate lubada autentimismooduli kiiruse piiramise. Vaikimisi piirab see ründajaid mitte rohkem kui kolme sisselogimiskatsega iga 30s järel. Kas soovite lubada määra piiramise? (jah / n) y [siia sisestage 'y']
7. samm. Nüüd avage fail sshd_config mis tahes redaktoriga
$ sudo vi / etc / ssh / sshd_configja tehke järgmised toimingud:
- Märkimata ja määrake Parooli autentimine jah.
- Märkimata ja määrake ChallengeResponseAuthentification jah.
- Märkimata ja määrake Kasutage PAM-i jah.
Salvestage ja sulgege fail.
8. samm. Järgmisena avage / etc / pam.d / sshd fail
$ sudo vi / etc / pam.d / sshdja lisage rea alla järgmised read "auth alampaketi parool:
Autent on vajalik pam_google_authenticator.nii
9. samm. Käivitage ja lubage Fedora serveris SSH-teenus käsuga:
$ sudo systemctl start sshd$ sudo systemctl lubab sshd
Kõik serveri seadistamise etapid on nüüd tehtud. Nüüd kolime oma kliendimasinasse, s.t.e., Xubuntu, meie puhul.
10. samm. Nüüd proovige SSH-ga sisse logida Xubuntu masinast Fedora 30 serverisse:
$ ssh [meiliga kaitstud]
Nagu näete, küsib SSH kõigepealt teie mobiilseadmest serveri parooli ja seejärel kinnituskoodi. Kui olete õigesti sisestanud kinnituskoodi, saate sisse logida Fedora kaugserverisse.
Järeldus
Palju õnne, oleme edukalt konfigureerinud SSH-i juurdepääsu kaheastmelise autentimisega Fedora 30 OS-is. Saate täiendavalt konfigureerida SSH-d kasutama ainult serveri paroolita sisselogimiseks ainult kinnituskoodi.
