Kétfaktoros hitelesítés beállítása az SSH-hoz a Fedorán
Úgy tűnik, hogy minden nap rengeteg olyan biztonsági incidenst jelentenek be, ahol adataink veszélyben vannak. Annak ellenére, hogy az SSH biztonságos módszer a távoli kapcsolat létrehozására egy Linux rendszerrel, mégis, egy ismeretlen felhasználó hozzáférhet a Linux-gépéhez, ha ellopja az SSH-kulcsokat, még akkor is, ha letiltja a jelszavakat, vagy csak az SSH-kapcsolatokat engedélyezi. nyilvános és privát kulcsok.
Ebben a cikkben elmagyarázzuk, hogyan állíthat be kétfaktoros hitelesítést (2FA) az SSH-hoz Fedora Linux disztribúción a Google Hitelesítő segítségével a hozzáféréshez. távoli Linux rendszert biztonságosabb módon, egy TOTP (The Time-based egyszeri jelszó) szám megadásával, amelyet véletlenszerűen generál egy hitelesítő alkalmazás egy mobileszközön.
Olvassa el még: Kéttényezős hitelesítés beállítása SSH-bejelentkezésekhez CentOS és Debian rendszerben
Vegye figyelembe, hogy bármilyen kétirányú hitelesítési alkalmazást használhat mobileszközéhez, amely kompatibilis a TOTP algoritmussal. Számos ingyenes alkalmazás érhető el Androidra vagy IOS-re, amelyek támogatják a TOTP-t és a Google Authenticator-t, de ez a cikk a Google Hitelesítő-t használja példaként.
A Google Authenticator telepítése a Fedorára
Először telepítse a Google Authenticator alkalmazást Fedora szerverére a következő dnf paranccsal.
sudo dnf install -y google-authenticator
A Google Authenticator telepítése után már futtathatja az alkalmazást.
google-authenticator
Az alkalmazás számos kérdést feltesz. A következő részletek bemutatják, hogyan kell válaszolni az ésszerűen biztonságos beállítás érdekében.
Do you want authentication tokens to be time-based (y/n) y Do you want me to update your "/home/user/.google_authenticator" file (y/n)? y
Az alkalmazás titkos kulcsot, ellenőrző kódot és helyreállítási kódokat biztosít. Ezeket a kulcsokat tartsa biztonságos helyen, mivel ezek a kulcsok az egyetlen módja annak, hogy hozzáférjen a szerveréhez, ha elveszíti mobileszközét.
Mobiltelefon-hitelesítés beállítása
Mobiltelefonján nyissa meg a Google Play vagy az iTunes alkalmazásboltot, keressen rá a Google Authenticator kifejezésre, és telepítse az alkalmazást.
Most nyissa meg a Google Authenticator alkalmazást mobiltelefonján, és olvassa be a Fedora terminál képernyőjén megjelenő QR-kódot. A QR-kód beolvasása után a hitelesítő alkalmazás véletlenszerűen generált számot kap, és ezt a számot használja minden alkalommal, amikor távolról csatlakozik Fedora szerveréhez.
Fejezze be a Google Authenticator konfigurálását
A Google Authenticator alkalmazás további kérdéseket tesz fel, és a következő példa bemutatja, hogyan válaszolhat rájuk a biztonságos konfiguráció beállításához.
Most be kell állítania az SSH-t az új kétirányú hitelesítés használatához az alábbiak szerint.
Állítsa be az SSH-t a Google Authenticator használatához
Az SSH hitelesítő alkalmazás használatához való konfigurálásához először működő SSH-kapcsolattal kell rendelkeznie nyilvános SSH-kulcsokkal, mivel letiltjuk a jelszavas kapcsolatokat.
Nyissa meg az /etc/pam.d/sshd fájlt a szerverén.
sudo vi /etc/pam.d/sshd
Jegyezze meg az auth substack password-auth sort a fájlban.
#auth substack password-auth
Ezután helyezze a következő sort a fájl végére.
auth sufficient pam_google_authenticator.so
Mentse és zárja be a fájlt.
Ezután nyissa meg és szerkessze az /etc/ssh/sshd_config fájlt.
sudo vi /etc/ssh/sshd_config
Keresse meg a ChallengeResponseAuthentication sort, és módosítsa yes-ra.
ChallengeResponseAuthentication yes
Keresse meg a PasswordAuthentication sort, és módosítsa no-ra.
PasswordAuthentication no
Ezután helyezze a következő sort a fájl végére.
AuthenticationMethods publickey,password publickey,keyboard-interactive
Mentse és zárja be a fájlt, majd indítsa újra az SSH-t.
sudo systemctl restart sshd
Kéttényezős hitelesítés tesztelése Fedorán
Most próbáljon meg távolról csatlakozni a szerverhez, a rendszer kérni fogja, hogy adja meg az ellenőrző kódot.
ssh [email
Verification code:
Az ellenőrző kódot véletlenszerűen generálja a mobiltelefonján a hitelesítő alkalmazás. Mivel az előállított kód néhány másodpercenként változik, gyorsan meg kell adnia, mielőtt újat hozna létre.
Ha rossz ellenőrző kódot ad meg, nem tud csatlakozni a rendszerhez, és a következő engedély megtagadva hibaüzenetet kap.
ssh [email
Verification code:
Verification code:
Verification code:
Permission denied (keyboard-interactive).
Következtetés
Ennek az egyszerű kétirányú hitelesítésnek a megvalósításával további biztonsági réteget adott a rendszeréhez, és ez megnehezíti az ismeretlen felhasználók hozzáférését a szerverhez.