ssh

Як увімкнути двофакторну автентифікацію для SSH у Fedora Linux

Як увімкнути двофакторну автентифікацію для SSH у Fedora Linux

У світі інформаційних технологій безпека є головною проблемою в наші дні. Щодня на організації розпочинаються нові та складні атаки. Системні адміністратори використовують різні способи посилити безпеку своїх серверів. Одним із найпоширеніших способів взаємодії з сервером є використання SSH (або Sзабезпечити SHell), який широко використовується для віддаленого реєстрації на сервері. Окрім віддалених входів до оболонки, він також використовується для копіювання файлів між двома комп'ютерами. На відміну від інших методів, таких як telnet, rcp, ftp тощо., Протокол SSH використовує механізм шифрування для захисту зв'язку між двома хостами.

Захист, що забезпечується протоколом SSH, може бути додатково посилений за допомогою двофакторної автентифікації. Це надалі створить міцну стіну між вашим хост-комп’ютером та зловмисниками. Для підключення до віддаленого сервера за допомогою SSH вам знадобиться пароль, а також код підтвердження (або OTP) від програми автентифікації, запущеної на вашому мобільному пристрої. Це дійсно корисно, якщо зловмисник викраде ваш пароль, він не зможе увійти на ваш сервер без коду підтвердження.

Для мобільних пристроїв під управлінням Android або Apple IOS доступно багато програм автентифікації. У цьому посібнику використано програму Google Authenticator як для сервера Fedora, так і для мобільного пристрою.

Що ми висвітлимо

У цьому посібнику ми побачимо, як ми можемо використовувати двофакторну автентифікацію з протоколом SSH для запобігання несанкціонованому доступу до нашої робочої станції Fedora 30. Ми спробуємо увійти на наш сервер Fedora з клієнтської машини Xubuntu, щоб перевірити, чи працює установка належним чином. Почнемо налаштовувати SSH із двофакторною автентифікацією.

Передумови

  1. ОС Fedora 30, встановлена ​​на віддаленому сервері з обліковим записом користувача "sudo".
  2. Машина Xubuntu для доступу до вищезазначеного сервера.
  3. Мобільний пристрій із встановленим додатком Google-Authenticator.

Огляд налаштування

  1. Машина Fedora 30 з IP: 192.168.43.92
  2. Машина Xubuntu з IP: 192.168.43.71
  3. Мобільний пристрій із додатком Google-Authenticator.

Крок 1. Встановіть Google-Authenticator на сервері Fedora 30 за допомогою команди:

$ sudo dnf install -y google-authentication

Крок 2. Запустіть команду нижче, щоб запустити Google-Authenticator на своєму сервері:

$ google-аутентифікатор

Він задасть кілька запитань для налаштування сервера для роботи з вашим мобільним пристроєм:

Ви хочете, щоб маркери автентифікації базувались на часі (так / ні) y [Введіть тут 'Y']

Він відобразить QR-код у вікні терміналу; тримати це вікно терміналу поки що відкритим.

Крок 3. Встановіть програму Google-Authenticator на свій мобільний пристрій і відкрийте її. Тепер натисніть опцію 'Сканувати QR-код.'Тепер зосередьте свою мобільну камеру на скануванні QR-коду у вікні терміналу вашого сервера.

Крок 4. Після сканування QR-коду ваш мобільний пристрій додасть обліковий запис для вашого сервера і згенерує випадковий код, який буде постійно змінюватися за допомогою обертового таймера, як показано на малюнку нижче:

Крок 5. Тепер поверніться до вікна терміналу сервера та введіть сюди код підтвердження з мобільного пристрою. Після підтвердження коду він генерує набір скретч-кодів. Ці скретч-коди можна використовувати для входу на ваш сервер на випадок втрати мобільного пристрою. Отже, збережіть їх у надійному місці.

Крок 6. На подальших кроках він задасть кілька питань, щоб завершити налаштування. Нижче ми навели набір питань та відповіді на них, щоб налаштувати установку. Ви можете змінити ці відповіді відповідно до ваших потреб:

Хочете, щоб я оновив ваш "/ home / linuxhint /.google_authenticator "? (y / n) y [Введіть тут 'y']
Ви хочете заборонити багаторазове використання одного і того ж маркера автентифікації? Це обмежує вас одним входом приблизно кожні 30 секунд, але це збільшує ваші шанси помітити або навіть запобігти атакам "людина посередині" (у / н) у [Введіть тут "у"]
За замовчуванням мобільний додаток генерує новий маркер кожні 30 секунд.Щоб компенсувати можливий перепад часу між клієнтом та сервером, ми дозволяємо додатковий маркер до і після поточного часу. Це дозволяє перерву в часі до 30 секунд між сервером автентифікації та клієнтом. Якщо у вас виникають проблеми з поганою синхронізацією часу, ви можете збільшити вікно із розміру за замовчуванням до 3 дозволених кодів (один попередній код, поточний код, наступний код) до 17 дозволених кодів (8 попередніх кодів, поточний код і 8 наступних кодів). Це дозволить перерву між клієнтом та сервером до 4 хвилин. Ви хочете це зробити?? (y / n) y [Введіть тут 'y']
Якщо комп'ютер, на який ви входите, не зміцнився від спроб грубого входу, можна ввімкнути обмеження швидкості для модуля автентифікації. За замовчуванням це обмежує не більше 3 спроб входу кожні 30 секунд. Ви хочете ввімкнути обмеження швидкості? (y / n) y [Введіть тут 'y']

Крок 7. Тепер відкрийте файл sshd_config за допомогою будь-якого редактора

$ sudo vi / etc / ssh / sshd_config

і виконайте такі дії:

  1. Розкоментуйте та встановіть PasswordAuthentication до так.
  2. Розкоментуйте та встановіть ChallengeResponseAuthentication до так.
  3. Розкоментуйте та встановіть UsePAM до так.

Збережіть і закрийте файл.

Крок 8. Далі відкрийте / etc / pam.файл d / sshd

$ sudo vi / etc / pam.д / сшд

і додайте наступні рядки під рядком 'пароль для підкладу:

авторизація необхідна pam_google_authenticator.так

Крок 9. Запустіть і ввімкніть службу SSH на сервері Fedora за допомогою команди:

$ sudo systemctl start sshd
$ sudo systemctl увімкніть sshd

Усі кроки для налаштування сервера тепер виконано. Тепер ми перейдемо до нашої клієнтської машини, тобто.e., Xubuntu, у нашому випадку.

Крок 10. Тепер спробуйте увійти за допомогою SSH з машини Xubuntu на сервер Fedora 30:

$ ssh [електронна пошта захищена]

Як бачите, SSH спочатку запитує пароль сервера, а потім код підтвердження з вашого мобільного пристрою. Після правильного введення коду підтвердження ви можете увійти на віддалений сервер Fedora.

Висновок

Вітаємо, ми успішно налаштували доступ SSH із двофакторною автентифікацією в ОС Fedora 30. Ви можете додатково налаштувати SSH на використання лише коду підтвердження для входу без пароля віддаленого сервера.

Миша Middle mouse button not working in Windows 10
Middle mouse button not working in Windows 10
The middle mouse button helps you scroll through long webpages and screens with a lot of data. If that stops, well you will end up using the keyboard ...
Миша How to change Left & Right mouse buttons on Windows 10 PC
How to change Left & Right mouse buttons on Windows 10 PC
It's quite a norm that all computer mouse devices are ergonomically designed for right-handed users. But there are mouse devices available which are s...
Миша Emulate Mouse clicks by hovering using Clickless Mouse in Windows 10
Emulate Mouse clicks by hovering using Clickless Mouse in Windows 10
Using a mouse or keyboard in the wrong posture of excessive usage can result in a lot of health issues, including strain, carpal tunnel syndrome, and ...