Phenquestions
Ve světě informačních technologií je dnes bezpečnost velkým problémem. Každý den jsou podnikány nové a sofistikované útoky. Správci systému používají k posílení zabezpečení svých serverů různé způsoby. Jedním z běžných způsobů interakce se serverem je použití SSH (nebo Slék SHell) protokol, který je široce používán pro vzdálené přihlášení k serveru. Kromě vzdáleného přihlášení do shellu se také používá ke kopírování souborů mezi dvěma počítači. Na rozdíl od jiných metod, jako je telnet, rcp, ftp atd., Protokol SSH používá k zabezpečení komunikace mezi dvěma hostiteli šifrovací mechanismus.
Zabezpečení poskytované protokolem SSH lze dále zvýšit pomocí dvoufaktorového ověřování. Tím se dále vytvoří silná zeď mezi hostitelským počítačem a útočníky. Chcete-li se připojit ke vzdálenému serveru pomocí SSH, budete potřebovat heslo a ověřovací kód (nebo OTP) z autentizační aplikace spuštěné na vašem mobilním zařízení. To je opravdu užitečné, pokud útočník ukradne vaše heslo, bez ověřovacího kódu se nebude moci přihlásit na váš server.
Pro mobilní zařízení se systémem Android nebo Apple IOS je k dispozici mnoho aplikací pro ověřování. Tato příručka používá aplikaci Google Authenticator pro server Fedora i pro mobilní zařízení.
Co pokryjeme
Tato příručka uvidí, jak můžeme pomocí dvoufaktorového ověřování pomocí protokolu SSH zabránit neoprávněnému přístupu k naší pracovní stanici Fedora 30. Pokusíme se přihlásit k našemu serveru Fedora z klientského počítače Xubuntu, abychom zjistili, zda nastavení funguje podle očekávání. Začněme konfigurovat SSH s dvoufaktorovým ověřováním.
Předpoklady
- Operační systém Fedora 30 nainstalovaný na vzdáleném serveru s uživatelským účtem „sudo“.
- Stroj Xubuntu pro přístup k výše uvedenému serveru.
- Mobilní zařízení s nainstalovanou aplikací Google Authenticator.
Přehled nastavení
- Zařízení Fedora 30 s IP: 192.168.43.92
- Stroj Xubuntu s IP: 192.168.43.71
- Mobilní zařízení s aplikací Google-Authenticator.
Krok 1. Nainstalujte Google-Authenticator na server Fedora 30 pomocí příkazu:
$ sudo dnf install -y google-authenticator
Krok 2. Spuštěním níže uvedeného příkazu spusťte Google-Authenticator na vašem serveru:
$ google-autentizátorPoloží několik otázek ke konfiguraci serveru tak, aby fungoval s vaším mobilním zařízením:
Chcete, aby ověřovací tokeny byly založeny na čase (y / n) y [Sem zadejte 'Y']V okně terminálu zobrazí QR kód; nechte toto okno terminálu zatím otevřené.
Krok 3. Nainstalujte si aplikaci Google Authenticator do svého mobilního zařízení a otevřete ji. Nyní klikněte na možnost „Naskenovat QR kód.„Nyní zaměřte svůj mobilní fotoaparát na skenování QR kódu v terminálovém okně vašeho serveru.
Krok 4. Po naskenování QR kódu vaše mobilní zařízení přidá účet pro váš server a vygeneruje náhodný kód, který se bude neustále měnit pomocí rotujícího časovače, jak je znázorněno na obrázku níže:
Krok 5. Nyní přejděte zpět do okna terminálu serveru a zadejte zde ověřovací kód ze svého mobilního zařízení. Jakmile je kód potvrzen, vygeneruje sadu stíracích kódů. Tyto stírací kódy lze použít k přihlášení na server v případě ztráty mobilního zařízení. Takže je uložte na bezpečném místě.
Krok 6. V dalších krocích položí několik otázek k dokončení konfigurace. Níže jsme uvedli sadu otázek a jejich odpovědí ke konfiguraci nastavení. Tyto odpovědi můžete změnit podle svých potřeb:
Chcete, abych aktualizoval váš "/ home / linuxhint /.soubor google_authenticator? (y / n) y [Sem zadejte 'y']Chcete zakázat více použití stejného ověřovacího tokenu? To vás omezuje na jedno přihlášení přibližně každých 30 s, ale zvyšuje se vaše šance všimnout si nebo dokonce zabránit útokům typu man-in-the-middle (y / n) y [Sem zadejte 'y']
Ve výchozím nastavení mobilní aplikace generuje nový token každých 30 sekund.Abychom kompenzovali možné časové zkosení mezi klientem a serverem, povolujeme před a po aktuálním čase další token. To umožňuje časový posun až 30 sekund mezi ověřovacím serverem a klientem. Pokud narazíte na problémy se špatnou synchronizací času, můžete okno zvětšit z jeho výchozí velikosti na 3 povolené kódy (jeden předchozí kód, aktuální kód, další kód) na 17 povolených kódů (8 předchozích kódů, aktuální kód a 8 dalších kódů). To umožní časové zkosení mezi klientem a serverem až 4 minuty. Chcete to udělat?? (y / n) y [Sem zadejte 'y']
Pokud počítač, ke kterému se přihlašujete, není ztvrdlý proti pokusům o přihlášení hrubou silou, můžete pro modul ověřování povolit omezení rychlosti. Ve výchozím nastavení to omezuje útočníky na maximálně 3 pokusy o přihlášení každých 30 s. Chcete povolit omezení rychlosti?? (y / n) y [Sem zadejte 'y']
Krok 7. Nyní otevřete soubor sshd_config pomocí libovolného editoru
$ sudo vi / etc / ssh / sshd_configa proveďte následující kroky:
- Odkomentujte a nastavte Ověřování hesla ano.
- Odkomentujte a nastavte ChallengeResponseAuthentication ano.
- Odkomentujte a nastavte UsePAM ano.
Uložte a zavřete soubor.
Krok 8. Dále otevřete / etc / pam.soubor d / sshd
$ sudo vi / etc / pam.d / sshda přidejte následující řádky pod řádek 'heslo pro autorizaci dílčího účtu:
vyžadováno ověření pam_google_authenticator.tak
Krok 9. Spusťte a povolte službu SSH na serveru Fedora pomocí příkazu:
$ sudo systemctl start sshd$ sudo systemctl povolit sshd
Všechny kroky pro konfiguraci serveru jsou nyní hotové. Nyní přejdeme na náš klientský stroj, tj.E., V našem případě Xubuntu.
Krok 10. Nyní se pokuste přihlásit pomocí SSH ze stroje Xubuntu na server Fedora 30:
$ ssh [chráněno e-mailem]
Jak vidíte, SSH nejprve požaduje heslo serveru a poté ověřovací kód z vašeho mobilního zařízení. Jakmile zadáte ověřovací kód správně, můžete se přihlásit ke vzdálenému serveru Fedory.
Závěr
Gratulujeme, úspěšně jsme nakonfigurovali přístup SSH s dvoufaktorovým ověřováním v systému Fedora 30. SSH můžete dále nakonfigurovat tak, aby pro přihlášení bez hesla ke vzdálenému serveru používal pouze ověřovací kód.
