[Õpetus] Seadistage SSH kasutama kahefaktorilist autentimist

Collapse
X
 
  • Aeg
  • Show
Puhasta kõik
uued postitused
  • root
    Huviline
    • Oct 2021
    • 318

    [Õpetus] Seadistage SSH kasutama kahefaktorilist autentimist

    1. Ülevaade
    SSH-d kasutatakse sageli Linuxi kaugsüsteemidele juurdepääsuks. Kuna kasutame seda sageli olulisi andmeid sisaldavate arvutitega ühenduse loomiseks, on soovitatav lisada veel üks turvakiht. Siin tuleb mängu kahefaktoriline autentimine (2FA).

    Mis on kahefaktoriline autentimine
    Mitmefaktoriline autentimine on meetod teie identiteedi kinnitamiseks, kasutades vähemalt kahte erinevat autentimisviisi. Kõige tavalisem ja lihtsamini rakendatav kahefaktorilise autentimise näide kasutab parooli (keeruline parool, mis koosneb sageli mitmest sõnast) ja spetsiaalse mobiilirakenduse loodud ühekordse pääsukoodi kombinatsiooni.

    Kasutame autentimiskoodide genereerimiseks Androidile (Play poes) ja iOS-le (iTunesis) saadaolevat Google Authenticatori rakendust.

    Mida vajate
    • Arvuti, milles töötab Ubuntu 16.04 LTS või uuem
    • Telefon, milles töötab Android või iOS
    • Konfigureeritud SSH ühendus
    2. Vajalike pakettide installimine ja seadistamine

    Google Authenticatori PAM mooduli paigaldamine
    Käivitage terminaliseanss ja sisestage:
    Kood:
    sudo apt install libpam-google-authenticator
    SSH seadistamine
    Selleks, et panna SSH kasutama Google Authenticatori PAM moodulit, lisage faili /etc/pam.d/sshd järgmine rida:
    PHP Code:
    auth required pam_google_authenticator.so 
    
    Nüüd peate SSH taaskäivitama, sisestades:
    Kood:
    sudo systemctl restart sshd.service
    Muutke /etc/ssh/sshd_config "ChallengeResponseAuthentication" väärtusele no, nii et see failiosa näeb välja selline:
    PHP Code:
    # Change to yes to enable challenge-response passwords (beware issues with
    # some PAM modules and threads)
    ChallengeResponseAuthentication no # CHANGE THIS TO YES
    
    # Change to no to disable tunnelled clear text passwords
    #PasswordAuthentication yes 
    
    3. Autentimise seadistamine

    Google Authenticator muudab kahefaktorilise autentimise seadistamise palju lihtsamaks, võrreldes (näiteks) libpam-oathiga.
    Käivitage terminalis käsk google-authenticator.

    See esitab teile rea küsimusi. Siin on soovitatav konfiguratsioon:
    • Make tokens “time-base”: yes
    • Update the .google_authenticator file: yes
    • Disallow multiple uses: yes
    • Increase the original generation time limit: no
    • Enable rate-limiting: yes
    Võib-olla olete märganud protsessi käigus ilmunud hiiglaslikku QR-koodi, mille all on teie hädaolukorra koodid, mida saate kasutada, kui teil puudub telefonile juurdepääs: kirjutage need endale üles ja hoidke kindlas kohas.

    Nüüd avame Google Authenticatori ja lisame selle toimimiseks salajase võtme.

    Click image for larger version  Name:	sshauth.png Views:	0 Size:	91.0 KB ID:	316

    Ärge kasutage salajaste võtmete salvestamiseks krüpteerimata teenuseid, näiteks märkmete sünkroonimisteenust jne. Kui te ei soovi võtit käsitsi sisestada, kasutage QR-koodi.

    4. Saladuse lisamine Google Authenticatorile
    Kasutame Authenticatori uusimat versiooni Play poest. Protsess ei tohiks iOS-is väga erinev välja näha.

    Click image for larger version  Name:	apps.png Views:	0 Size:	4.4 KB ID:	317

    QR-koodi kasutamine
    Puudutage lisamisikooni (+) ja valige "Scan a barcode". Kasutage QR-koodi skanneerimiseks telefoni kaamerat.

    Click image for larger version  Name:	qrusing.png Views:	0 Size:	9.2 KB ID:	318

    Läbiva võtme kasutamine
    Puudutage lisamisikooni (+) ja valige "Enter a provided key". Sisestage nimi, mida tunnete SSH 2FA-meetodina, seejärel kirjutage google-authenticatori käsuga antud salajane võti.

    Click image for larger version  Name:	key.png Views:	0 Size:	12.3 KB ID:	319

    5. Abi saamine
    Olete just Google Authenticatori abil konfigureerinud SSH kahefaktorilise autentimise. Nüüd iga kord, kui proovite (või mõni teie parooliga pahalane…) oma SSH sisse logida, küsitakse teilt (või sellelt pahalaselt) lisaks traditsioonilisele paroolile ka autentimisvõtit.







  • inspire
    IT huviline
    • Feb 2022
    • 118

    #2
    Hea ja kasulik õpetus! 🙂

    Kommentaar

    Töötlen...