Kahden tekijän todennuksen määrittäminen SSH: lle Fedorassa

Joka päivä näyttää olevan ilmoitettu paljon tietoturvaloukkauksia, joissa tietomme ovat vaarassa. Huolimatta siitä, että SSH on turvallinen tapa muodostaa yhteys etäyhteydellä Linux-järjestelmään, silti tuntematon käyttäjä voi päästä Linux-koneellesi, jos hän varastaa SSH-avaimesi, vaikka poistat salasanat käytöstä tai sallit vain SSH-yhteydet yli julkiset ja yksityiset avaimet.

Tässä artikkelissa selitämme, kuinka SSH: n kaksivaiheinen todennus (2FA) määritetään Fedora Linux -jakelulle Google Authenticatorin avulla, jotta pääset Linux-etäjärjestelmään turvallisemmin tarjoamalla TOTP (The Time-based One-time) Salasana) numero, jonka autentikointisovellus on tuottanut satunnaisesti mobiililaitteessa.

Huomaa, että voit käyttää mitä tahansa kaksisuuntaista todennussovellusta mobiililaitteellesi, joka on yhteensopiva TOTP-algoritmin kanssa. Androidille tai IOS: lle on tarjolla lukuisia ilmaisia sovelluksia, jotka tukevat TOTP: tä ja Google Authenticatoria, mutta tässä artikkelissa käytetään esimerkkinä Google Authenticatoria.

Google Authenticator asennetaan Fedoraan

Asenna ensin Google Authenticator -sovellus Fedora-palvelimellesi seuraavan dnf-komennon avulla.

$ sudo dnf install -y google-authenticator

Kun Google Authenticator on asennettu, voit nyt käyttää sovellusta.

$ google-authenticator

Sovellus kehottaa sinua kysymyksiin. Seuraavat katkelmat osoittavat, kuinka voit vastata kohtuullisen turvalliseen asetukseen.

Do you want authentication tokens to be time-based (y/n) y Do you want me to update your "/home/user/.google_authenticator" file (y/n)? y

Sovellus tarjoaa sinulle salaisen avaimen, vahvistuskoodin ja palautuskoodit. Pidä nämä avaimet turvallisessa ja turvallisessa paikassa, koska nämä avaimet ovat ainoa tapa käyttää palvelinta, jos kadotat mobiililaitteesi.

Matkapuhelintodennuksen määrittäminen

Siirry matkapuhelimellasi Google Play- tai iTunes-sovelluskauppaan, etsi Google Authenticator ja asenna sovellus.

Avaa nyt Google Authenticator -sovellus matkapuhelimellasi ja skannaa Fedora-päätelaitteen näytöllä näkyvä QR-koodi. Kun QR-koodin skannaus on valmis, autentikointisovellus saa satunnaisesti luodun numeron ja käyttää tätä numeroa aina, kun muodostat yhteyden Fedora-palvelimeesi etänä.

Viimeistele Google Authenticator -määritys

Google Authenticator -sovellus pyytää lisäkysymyksiä, ja seuraava esimerkki näyttää, miten niihin voidaan vastata turvallisen määrityksen määrittämiseksi.

Nyt sinun on määritettävä SSH käyttämään uutta kaksisuuntaista todennusta alla kuvatulla tavalla.

Määritä SSH käyttämään Google Authenticatoria

Jos haluat määrittää SSH: n käyttämään todennussovellusta, tarvitset ensin toimivan SSH-yhteyden käyttämällä julkisia SSH-avaimia, koska poistamme salasanayhteydet käytöstä.

Avaa /etc/pam.d/sshd-tiedosto palvelimellasi.

$ sudo vi /etc/pam.d/sshd

Kommentoi tiedoston auth substack password-auth -riviä.

#auth       substack     password-auth

Aseta seuraavaksi seuraava rivi tiedoston loppuun.

auth sufficient pam_google_authenticator.so

Tallenna ja sulje tiedosto.

Seuraavaksi avaa ja muokkaa tiedostoa/etc/ssh/sshd_config.

$ sudo vi /etc/ssh/sshd_config

Etsi ChallengeResponseAuthentication -riviä ja muuta se muotoon yes .

ChallengeResponseAuthentication yes

Etsi rivi PasswordAuthentication ja vaihda se muotoon no .

PasswordAuthentication no

Aseta seuraavaksi seuraava rivi tiedoston loppuun.

AuthenticationMethods publickey,password publickey,keyboard-interactive

Tallenna ja sulje tiedosto ja käynnistä sitten SSH uudelleen.

$ sudo systemctl restart sshd

Kaksivaiheisen todennuksen testaaminen Fedoralla

Yritä nyt muodostaa yhteys palvelimeesi etänä, se pyytää sinua antamaan vahvistuskoodin.

$ ssh [email 

Verification code:

Todentamissovellus luo vahvistuskoodin satunnaisesti matkapuhelimeesi. Koska luotu koodi muuttuu muutaman sekunnin välein, sinun on syötettävä se nopeasti, ennen kuin se luo uuden.

Jos syötät väärän vahvistuskoodin, et voi muodostaa yhteyttä järjestelmään, ja saat virheilmoituksen seuraavasta luvasta.

$ ssh [email 

Verification code:
Verification code:
Verification code:
Permission denied (keyboard-interactive).

Toteuttamalla tämän helpon kaksisuuntaisen todennuksen, olet lisännyt ylimääräisen suojaustason järjestelmääsi, ja tämä vaikeuttaa tuntemattoman käyttäjän pääsyä palvelimellesi.