Kaip nustatyti dviejų faktorių SSH autentifikavimą „Fedora“.

Atrodo, kad kiekvieną dieną pranešama apie daugybę saugumo pažeidimų, kai mūsų duomenims kyla pavojus. Nepaisant to, kad SSH yra saugus būdas nuotoliniu būdu užmegzti ryšį su Linux sistema, tačiau nežinomas vartotojas gali gauti prieigą prie jūsų Linux įrenginio, jei pavogs jūsų SSH raktus, net jei išjungsite slaptažodžius arba leidžiate tik SSH ryšius. viešieji ir privatieji raktai.

Šiame straipsnyje paaiškinsime, kaip nustatyti dviejų veiksnių autentifikavimą (2FA) SSH Fedora Linux platinimui naudojant Google Authenticator, kad pasiektumėte nutolusią „Linux“ sistemą saugesniu būdu, pateikdama TOTP (The Time-based Uni-time Password) numerį, atsitiktinai sugeneruotą naudojant autentifikavimo programą mobiliajame įrenginyje.

Taip pat skaitykite: kaip nustatyti dviejų veiksnių autentifikavimą SSH prisijungimams sistemoje „CentOS“ ir „Debian“

Atminkite, kad mobiliajame įrenginyje galite naudoti bet kurią dvipusio autentifikavimo programą, suderinamą su TOTP algoritmu. Yra daug nemokamų programų, skirtų „Android“ arba „IOS“, palaikančių TOTP ir Google Authenticator, tačiau šiame straipsnyje kaip pavyzdys naudojama „Google“ autentifikavimo priemonė.

„Google Authenticator“ diegimas „Fedora“.

Pirmiausia įdiekite programą Google Authenticator Fedora serveryje naudodami šią dnf komandą.

sudo dnf install -y google-authenticator

Įdiegę Google Authenticator, dabar galite paleisti programą.

google-authenticator

Programa siūlo jums keletą klausimų. Šie fragmentai parodo, kaip atsakyti, kad sąranka būtų pakankamai saugi.

Do you want authentication tokens to be time-based (y/n) y Do you want me to update your "/home/user/.google_authenticator" file (y/n)? y

Programa suteikia jums slaptą raktą, patvirtinimo kodą ir atkūrimo kodus. Laikykite šiuos raktus saugioje vietoje, nes šie raktai yra vienintelis būdas pasiekti serverį pametus mobilųjį įrenginį.

Mobiliojo telefono autentifikavimo nustatymas

Mobiliajame telefone eikite į programų parduotuvę Google Play arba iTunes, ieškokite Google Authenticator ir įdiekite programą.

Dabar atidarykite programą Google Authenticator savo mobiliajame telefone ir nuskaitykite QR kodą, rodomą Fedora terminalo ekrane. Kai QR kodo nuskaitymas bus baigtas, autentifikavimo programa gaus atsitiktinai sugeneruotą numerį ir naudosite šį numerį kiekvieną kartą, kai nuotoliniu būdu prisijungsite prie „Fedora“ serverio.

Užbaikite „Google“ autentifikavimo priemonės konfigūravimą

Programa Google Authenticator siūlo papildomų klausimų, o toliau pateiktame pavyzdyje parodyta, kaip į juos atsakyti, norint nustatyti saugią konfigūraciją.

Dabar turite sukonfigūruoti SSH, kad naudotumėte naują dvipusį autentifikavimą, kaip paaiškinta toliau.

Konfigūruokite SSH, kad galėtumėte naudoti „Google“ autentifikavimo priemonę

Norėdami sukonfigūruoti SSH naudoti autentifikatoriaus programą, pirmiausia turite turėti veikiantį SSH ryšį naudodami viešuosius SSH raktus, nes išjungsime slaptažodžių ryšius.

Serveryje atidarykite failą /etc/pam.d/sshd.

sudo vi /etc/pam.d/sshd

Komentuokite failo eilutę auth substack password-auth.

#auth       substack     password-auth

Tada įdėkite šią eilutę į failo pabaigą.

auth sufficient pam_google_authenticator.so

Išsaugokite ir uždarykite failą.

Tada atidarykite ir redaguokite failą /etc/ssh/sshd_config.

sudo vi /etc/ssh/sshd_config

Ieškokite eilutės ChallengeResponseAuthentication ir pakeiskite ją į taip.

ChallengeResponseAuthentication yes

Ieškokite eilutės Password Authentication ir pakeiskite ją į ne.

PasswordAuthentication no

Tada įdėkite šią eilutę į failo pabaigą.

AuthenticationMethods publickey,password publickey,keyboard-interactive

Išsaugokite ir uždarykite failą, tada iš naujo paleiskite SSH.

sudo systemctl restart sshd

Dviejų veiksnių autentifikavimo testavimas „Fedora“.

Dabar pabandykite prisijungti prie serverio nuotoliniu būdu, jis paprašys įvesti patvirtinimo kodą.

ssh [email 

Verification code:

Patvirtinimo kodas atsitiktinai sugeneruojamas jūsų mobiliajame telefone, naudojant autentifikavimo programą. Kadangi sugeneruotas kodas keičiasi kas kelias sekundes, prieš sukurdami naują jį turite įvesti greitai.

Jei įvesite neteisingą patvirtinimo kodą, negalėsite prisijungti prie sistemos ir gausite toliau pateiktą leidimo atsisakymo klaidą.

ssh [email 

Verification code:
Verification code:
Verification code:
Permission denied (keyboard-interactive).
Išvada

Įdiegę šį paprastą dvipusį autentifikavimą, savo sistemai suteikėte papildomą saugos sluoksnį, o tai apsunkina nežinomo vartotojo prieigą prie jūsų serverio.