1. Ülevaade
SSH-d kasutatakse sageli Linuxi kaugsüsteemidele juurdepääsuks. Kuna kasutame seda sageli olulisi andmeid sisaldavate arvutitega ühenduse loomiseks, on soovitatav lisada veel üks turvakiht. Siin tuleb mängu kahefaktoriline autentimine (2FA).
Mis on kahefaktoriline autentimine
Mitmefaktoriline autentimine on meetod teie identiteedi kinnitamiseks, kasutades vähemalt kahte erinevat autentimisviisi. Kõige tavalisem ja lihtsamini rakendatav kahefaktorilise autentimise näide kasutab parooli (keeruline parool, mis koosneb sageli mitmest sõnast) ja spetsiaalse mobiilirakenduse loodud ühekordse pääsukoodi kombinatsiooni.
Kasutame autentimiskoodide genereerimiseks Androidile (Play poes) ja iOS-le (iTunesis) saadaolevat Google Authenticatori rakendust.
Mida vajate
Google Authenticatori PAM mooduli paigaldamine
Käivitage terminaliseanss ja sisestage:
SSH seadistamine
Selleks, et panna SSH kasutama Google Authenticatori PAM moodulit, lisage faili /etc/pam.d/sshd järgmine rida:
Nüüd peate SSH taaskäivitama, sisestades:
Muutke /etc/ssh/sshd_config "ChallengeResponseAuthentication" väärtusele no, nii et see failiosa näeb välja selline:
3. Autentimise seadistamine
Google Authenticator muudab kahefaktorilise autentimise seadistamise palju lihtsamaks, võrreldes (näiteks) libpam-oathiga.
Käivitage terminalis käsk google-authenticator.
See esitab teile rea küsimusi. Siin on soovitatav konfiguratsioon:
Nüüd avame Google Authenticatori ja lisame selle toimimiseks salajase võtme.
Ärge kasutage salajaste võtmete salvestamiseks krüpteerimata teenuseid, näiteks märkmete sünkroonimisteenust jne. Kui te ei soovi võtit käsitsi sisestada, kasutage QR-koodi.
4. Saladuse lisamine Google Authenticatorile
Kasutame Authenticatori uusimat versiooni Play poest. Protsess ei tohiks iOS-is väga erinev välja näha.
QR-koodi kasutamine
Puudutage lisamisikooni (+) ja valige "Scan a barcode". Kasutage QR-koodi skanneerimiseks telefoni kaamerat.
Läbiva võtme kasutamine
Puudutage lisamisikooni (+) ja valige "Enter a provided key". Sisestage nimi, mida tunnete SSH 2FA-meetodina, seejärel kirjutage google-authenticatori käsuga antud salajane võti.
5. Abi saamine
Olete just Google Authenticatori abil konfigureerinud SSH kahefaktorilise autentimise. Nüüd iga kord, kui proovite (või mõni teie parooliga pahalane…) oma SSH sisse logida, küsitakse teilt (või sellelt pahalaselt) lisaks traditsioonilisele paroolile ka autentimisvõtit.
SSH-d kasutatakse sageli Linuxi kaugsüsteemidele juurdepääsuks. Kuna kasutame seda sageli olulisi andmeid sisaldavate arvutitega ühenduse loomiseks, on soovitatav lisada veel üks turvakiht. Siin tuleb mängu kahefaktoriline autentimine (2FA).
Mis on kahefaktoriline autentimine
Mitmefaktoriline autentimine on meetod teie identiteedi kinnitamiseks, kasutades vähemalt kahte erinevat autentimisviisi. Kõige tavalisem ja lihtsamini rakendatav kahefaktorilise autentimise näide kasutab parooli (keeruline parool, mis koosneb sageli mitmest sõnast) ja spetsiaalse mobiilirakenduse loodud ühekordse pääsukoodi kombinatsiooni.
Kasutame autentimiskoodide genereerimiseks Androidile (Play poes) ja iOS-le (iTunesis) saadaolevat Google Authenticatori rakendust.
Mida vajate
- Arvuti, milles töötab Ubuntu 16.04 LTS või uuem
- Telefon, milles töötab Android või iOS
- Konfigureeritud SSH ühendus
Google Authenticatori PAM mooduli paigaldamine
Käivitage terminaliseanss ja sisestage:
Kood:
sudo apt install libpam-google-authenticator
Selleks, et panna SSH kasutama Google Authenticatori PAM moodulit, lisage faili /etc/pam.d/sshd järgmine rida:
PHP Code:
auth required pam_google_authenticator.so
Kood:
sudo systemctl restart sshd.service
PHP Code:
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no # CHANGE THIS TO YES
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
Google Authenticator muudab kahefaktorilise autentimise seadistamise palju lihtsamaks, võrreldes (näiteks) libpam-oathiga.
Käivitage terminalis käsk google-authenticator.
See esitab teile rea küsimusi. Siin on soovitatav konfiguratsioon:
- Make tokens “time-base”: yes
- Update the .google_authenticator file: yes
- Disallow multiple uses: yes
- Increase the original generation time limit: no
- Enable rate-limiting: yes
Nüüd avame Google Authenticatori ja lisame selle toimimiseks salajase võtme.
Ärge kasutage salajaste võtmete salvestamiseks krüpteerimata teenuseid, näiteks märkmete sünkroonimisteenust jne. Kui te ei soovi võtit käsitsi sisestada, kasutage QR-koodi.
4. Saladuse lisamine Google Authenticatorile
Kasutame Authenticatori uusimat versiooni Play poest. Protsess ei tohiks iOS-is väga erinev välja näha.
QR-koodi kasutamine
Puudutage lisamisikooni (+) ja valige "Scan a barcode". Kasutage QR-koodi skanneerimiseks telefoni kaamerat.
Läbiva võtme kasutamine
Puudutage lisamisikooni (+) ja valige "Enter a provided key". Sisestage nimi, mida tunnete SSH 2FA-meetodina, seejärel kirjutage google-authenticatori käsuga antud salajane võti.
5. Abi saamine
Olete just Google Authenticatori abil konfigureerinud SSH kahefaktorilise autentimise. Nüüd iga kord, kui proovite (või mõni teie parooliga pahalane…) oma SSH sisse logida, küsitakse teilt (või sellelt pahalaselt) lisaks traditsioonilisele paroolile ka autentimisvõtit.
Kommentaar