ssh

Как да активирам двуфакторно удостоверяване за SSH във Fedora Linux

Как да активирам двуфакторно удостоверяване за SSH във Fedora Linux

В света на информационните технологии сигурността е основна грижа в наши дни. Всеки ден се предприемат нови и усъвършенствани атаки срещу организации. Системните администратори използват различни начини за влошаване на сигурността на своите сървъри. Един от често срещаните начини за взаимодействие със сървър е използването на SSH (или Сосигури SHell) протокол, който се използва широко за отдалечено регистриране към сървър. Освен отдалечени данни за черупки, той се използва и за копиране на файлове между два компютъра. За разлика от други методи като telnet, rcp, ftp и т.н., SSH протоколът използва механизъм за криптиране, за да осигури комуникацията между два хоста.

Сигурността, осигурена от протокола SSH, може да бъде допълнително подобрена чрез използване на двуфакторно удостоверяване. Това допълнително ще постави здрава стена между вашия хост компютър и нападателите. За да се свържете с вашия отдалечен сървър с SSH, ще ви е необходима парола, както и код за потвърждение (или OTP) от приложение за удостоверяване, работещо на вашето мобилно устройство. Това е наистина полезно, ако нападателят открадне вашата парола, той няма да може да влезе в сървъра ви без кода за потвърждение.

Има много приложения за удостоверяване, достъпни за мобилни устройства с Android или Apple IOS. Това ръководство използва приложението Google Authenticator както за сървъра Fedora, така и за мобилното устройство.

Какво ще обхванем

Това ръководство ще види как можем да използваме двуфакторно удостоверяване с SSH протокол, за да предотвратим неоторизиран достъп до нашата работна станция Fedora 30. Ще се опитаме да влезем в нашия Fedora сървър от клиентската машина на Xubuntu, за да видим дали настройката работи според очакванията. Нека започнем да конфигурираме SSH с двуфакторно удостоверяване.

Предпоставки

  1. Операционна система Fedora 30, инсталирана на отдалечения сървър с потребителски акаунт „sudo“.
  2. Машина Xubuntu за достъп до горепосочения сървър.
  3. Мобилно устройство с инсталирано приложение Google-Authenticator.

Преглед на настройките

  1. Машина Fedora 30 с IP: 192.168.43.92
  2. Машина Xubuntu с IP: 192.168.43.71
  3. Мобилно устройство с приложението Google-Authenticator.

Етап 1. Инсталирайте Google-Authenticator на сървъра Fedora 30, като използвате командата:

$ sudo dnf инсталиране -y google-удостоверител

Стъпка 2. Изпълнете командата по-долу, за да стартирате Google-Authenticator на вашия сървър:

$ google-удостоверител

Ще зададе няколко въпроса за конфигуриране на сървъра за работа с вашето мобилно устройство:

Искате ли маркерите за удостоверяване да се основават на времето (да / не) y [Въведете 'Y' тук]

Той ще покаже QR код на прозореца на терминала; оставете този терминален прозорец отворен засега.

Стъпка 3. Инсталирайте приложението Google-Authenticator на вашето мобилно устройство и го отворете. Сега щракнете върху опцията „Сканиране на QR код.„Сега фокусирайте мобилната си камера върху сканирането на QR кода в терминалния прозорец на вашия сървър.

Стъпка 4. След сканиране на QR кода, вашето мобилно устройство ще добави акаунт за вашия сървър и ще генерира произволен код, който ще продължи да се променя с въртящ се таймер, както е показано на снимката по-долу:

Стъпка 5. Сега се върнете към прозореца на сървърния терминал и въведете тук кода за потвърждение от вашето мобилно устройство. След като кодът бъде потвърден, той ще генерира набор от скреч код. Тези кодове за надраскване могат да се използват за влизане в сървъра ви, в случай че загубите мобилното си устройство. Така че, запазете ги на някое сигурно място.

Стъпка 6. В следващите стъпки той ще зададе няколко въпроса, за да завърши конфигурацията. По-долу сме дали набора от въпроси и техните отговори, за да конфигурираме настройката. Можете да промените тези отговори според вашите нужди:

Искате ли да актуализирам вашия "/ home / linuxhint /.google_authenticator "файл? (y / n) y [Въведете 'y' тук]
Искате ли да забраните многократно използване на един и същ токен за удостоверяване? Това ви ограничава до едно влизане на всеки 30 години, но увеличава шансовете ви да забележите или дори да предотвратите атаки „човек в средата“ (y / n) y [Въведете „y“ тук]
По подразбиране нов токен се генерира на всеки 30 секунди от мобилното приложение.За да компенсираме евентуално изкривяване на времето между клиента и сървъра, разрешаваме допълнителен маркер преди и след текущото време. Това позволява изкривяване на времето до 30 секунди между сървъра за удостоверяване и клиента. Ако имате проблеми със слаба синхронизация на времето, можете да увеличите прозореца от размера му по подразбиране на 3 разрешени кода (един предишен код, текущия код, следващия код) до 17 разрешени кода (8-те предишни кода, текущия код и 8-те следващи кода). Това ще позволи изкривяване на времето между клиент и сървър до 4 минути. Искате ли да го направите? (y / n) y [Въведете 'y' тук]
Ако компютърът, в който влизате, не е втвърден срещу опити за груба сила на влизане, можете да активирате ограничаване на скоростта за модула за удостоверяване. По подразбиране това ограничава хакерите до не повече от 3 опита за влизане на всеки 30 години. Искате ли да активирате ограничаване на скоростта? (y / n) y [Въведете 'y' тук]

Стъпка 7. Сега отворете файла sshd_config с всеки редактор

$ sudo vi / etc / ssh / sshd_config

и направете следните стъпки:

  1. Разкоментирайте и задайте PasswordAuthentication до да.
  2. Разкоментирайте и задайте ChallengeResponseAuthentication до да.
  3. Разкоментирайте и задайте UsePAM до да.

Запазете и затворете файла.

Стъпка 8. След това отворете / etc / pam.d / sshd файл

$ sudo vi / etc / pam.d / sshd

и добавете следните редове под реда "auth подпапка парола auth:

задължително удостоверяване pam_google_authenticator.така

Стъпка 9. Стартирайте и активирайте SSH услугата на Fedora сървъра с командата:

$ sudo systemctl стартира sshd
$ sudo systemctl активира sshd

Всички стъпки за конфигуриране на сървъра вече са готови. Сега ще преминем към нашата клиентска машина, т.е.д., Xubuntu, в нашия случай.

Стъпка 10. Сега се опитайте да влезете с SSH от машината Xubuntu на сървъра Fedora 30:

$ ssh [имейл защитен]

Както можете да видите, SSH първо иска паролата на сървъра и след това код за потвърждение от вашето мобилно устройство. След като въведете правилно кода за проверка, можете да влезете в отдалечения сървър на Fedora.

Заключение

Поздравления, успешно конфигурирахме SSH достъпа с двуфакторно удостоверяване на Fedora 30 OS. Можете допълнително да конфигурирате SSH да използва само код за проверка за влизане без парола за отдалечен сървър.

Игри Пристанища с отворен код на търговски игрални машини
Пристанища с отворен код на търговски игрални машини
Безплатни разширения на играта с отворен код и междуплатформени игри могат да се използват за възпроизвеждане на стари, както и някои от доста скорошн...
Игри Най-добрите игри за команден ред за Linux
Най-добрите игри за команден ред за Linux
Командният ред не е само най-големият ви съюзник при използване на Linux - той може да бъде и източник на забавление, защото можете да го използвате, ...
Игри Най-добрите приложения за картографиране на геймпад за Linux
Най-добрите приложения за картографиране на геймпад за Linux
Ако искате да играете игри на Linux с геймпад вместо типична система за въвеждане на клавиатура и мишка, има някои полезни приложения за вас. Много ко...