Kuidas seadistada Fedoras SSH-le kahefaktoriline autentimine
Tundub, et iga päev teatatakse paljudest turvarikkumistest, kus meie andmed on ohus. Hoolimata asjaolust, et SSH on turvaline viis ühenduse loomiseks kaugjuhtimisega Linuxi süsteemiga, kuid ometi võib tundmatu kasutaja pääseda teie Linuxi masinale juurde, kui ta varastab teie SSH-võtmed, isegi kui keelate paroolid või lubate SSH-ühendusi ainult üle avalikud ja privaatvõtmed.
Selles artiklis selgitame, kuidas seadistada SSH-le kaheteguriline autentimine (2FA) Fedora Linuxi levitamisel Google Authenticatori abil, et pääseda turvalisemale Linuxi kaugsüsteemile, pakkudes TOTP-d (The Time-based One-time Parool) number, mille genereeris juhuslikult mobiilseadmes autentimisrakendus.
Pange tähele, et saate oma mobiilseadmes kasutada mis tahes kahepoolset autentimisrakendust, mis ühildub TOTP algoritmiga. Androidile või IOS-ile on saadaval arvukalt tasuta rakendusi, mis toetavad TOTP-i ja Google Authenticatorit, kuid selles artiklis kasutatakse näiteks Google Authenticatorit.
Google Authenticatori installimine Fedorasse
Esmalt installige Google Authenticatori rakendus oma Fedora serverisse järgmise käsuga dnf.
$ sudo dnf install -y google-authenticator
Kui Google Authenticator on installitud, saate nüüd rakenduse käivitada.
$ google-authenticator
Rakendus küsib teid paljude küsimustega. Järgmised jupid näitavad, kuidas vastata piisavalt turvalisele seadistusele.
Do you want authentication tokens to be time-based (y/n)yDo you want me to update your "/home/user/.google_authenticator" file (y/n)?y
Rakendus annab teile salajase võtme, kinnituskoodi ja taastekoodid. Hoidke neid võtmeid turvalises ja turvalises kohas, kuna need võtmed on ainus viis oma serverile juurde pääseda, kui kaotate oma mobiilseadme.
Mobiiltelefonide autentimise seadistamine
Minge oma mobiiltelefonis rakenduste poodi Google Play või iTunes, otsige üles Google Authenticator ja installige rakendus.
Nüüd avage mobiilis rakendus Google Authenticator ja skannige Fedora terminali ekraanil kuvatud QR-kood. Kui QR-koodi skannimine on lõpule jõudnud, saate autentimisrakenduse kaudu juhuslikult genereeritud numbri ja kasutage seda numbrit iga kord, kui ühendate oma Fedora serveriga kaugühenduse.
Lõpeta Google Authenticatori seadistamine
Rakendus Google Authenticator küsib lisaküsimusi ja järgmine näide näitab, kuidas neile turvalise konfiguratsiooni seadistamiseks vastata.
Nüüd peate SSH konfigureerima uue kahesuunalise autentimise kasutamiseks, nagu allpool selgitatud.
Konfigureerige SSH Google Authenticatori kasutamiseks
SSH konfigureerimiseks autentimisrakenduse kasutamiseks peab kõigepealt olema toimiv SSH-ühendus, kasutades avalikke SSH-võtmeid, kuna me keelame paroolühendused.
Avage oma serveris fail /etc/pam.d/sshd.
$ sudo vi /etc/pam.d/sshd
Kommenteerige failis rida auth substack password-auth .
#auth substack password-auth
Järgmisena asetage järgmine rida faili lõppu.
auth sufficient pam_google_authenticator.so
Salvestage ja sulgege fail.
Seejärel avage ja muutke faili/etc/ssh/sshd_config.
$ sudo vi /etc/ssh/sshd_config
Otsige rida ChallengeResponseAuthentication ja muutke see väärtuseks yes .
ChallengeResponseAuthentication yes
Otsige rida PasswordAuthentication ja muutke see väärtuseks no .
PasswordAuthentication no
Järgmisena asetage järgmine rida faili lõppu.
AuthenticationMethods publickey,password publickey,keyboard-interactive
Salvestage ja sulgege fail ning taaskäivitage SSH.
$ sudo systemctl restart sshd
Kahefaktorilise autentimise testimine Fedoral
Proovige nüüd oma serveriga kaugühendust luua, see palub teil sisestada kinnituskoodi.
$ ssh [email Verification code:
Teie autentimisrakendus genereerib teie mobiiltelefonis juhuslikult kinnituskoodi. Kuna genereeritud kood muutub mõne sekundi tagant, peate selle enne uue loomist kiiresti sisestama.
Kui sisestate vale kinnituskoodi, ei saa te süsteemiga ühendust luua ja saate järgmise loa keelatud tõrke.
$ ssh [email Verification code: Verification code: Verification code: Permission denied (keyboard-interactive).
Selle lihtsa kahepoolse autentimise juurutamisega olete lisanud oma süsteemile täiendava turvakihi ja see muudab tundmatule kasutajale teie serverile juurdepääsu saamise keerulisemaks.