ssh

Cum se activează autentificarea cu doi factori pentru SSH în Fedora Linux

Cum se activează autentificarea cu doi factori pentru SSH în Fedora Linux

În lumea tehnologiei informației, securitatea este o preocupare majoră în zilele noastre. În fiecare zi sunt lansate atacuri noi și sofisticate împotriva organizațiilor. Administratorii de sistem utilizează diferite moduri de a întări securitatea serverelor lor. Una dintre modalitățile obișnuite de a interacționa cu un server este utilizarea SSH (sau Secure SHell) protocol care este utilizat pe scară largă pentru conectarea la distanță pe un server. În afară de conectările la shell la distanță, este folosit și pentru copierea fișierelor între două computere. Spre deosebire de alte metode precum telnet, rcp, ftp etc., Protocolul SSH utilizează un mecanism de criptare pentru a asigura comunicația între două gazde.

Securitatea furnizată de protocolul SSH poate fi îmbunătățită în continuare prin utilizarea autentificării cu doi factori. Acest lucru va pune în continuare un zid puternic între computerul gazdă și atacatori. Pentru a vă conecta la serverul dvs. la distanță cu SSH, veți avea nevoie de o parolă, precum și un cod de verificare (sau OTP) de la o aplicație de autentificare care rulează pe dispozitivul dvs. mobil. Acest lucru este foarte util dacă un atacator îți fură parola, nu se va putea conecta la serverul tău fără codul de verificare.

Există multe aplicații de autentificare disponibile pentru dispozitivele mobile care rulează Android sau Apple IOS. Acest ghid a utilizat aplicația Google Authenticator atât pentru serverul Fedora, cât și pentru dispozitivul mobil.

Ce vom acoperi

Acest ghid va vedea cum putem folosi autentificarea în doi factori cu protocolul SSH pentru a preveni accesul neautorizat la stația noastră de lucru Fedora 30. Vom încerca să ne conectăm la serverul nostru Fedora de pe computerul Xubuntu pentru a vedea dacă setarea funcționează conform așteptărilor. Să începem să configurăm SSH cu autentificare cu doi factori.

Condiții prealabile

  1. Un sistem de operare Fedora 30 instalat pe serverul de la distanță cu un cont de utilizator „sudo”.
  2. O mașină Xubuntu pentru accesarea serverului de mai sus.
  3. Un dispozitiv mobil cu o aplicație Google-Authenticator instalată pe acesta.

Prezentare generală a configurării

  1. Mașină Fedora 30 cu IP: 192.168.43.92
  2. Mașină Xubuntu cu IP: 192.168.43.71
  3. Dispozitiv mobil cu aplicația Google-Authenticator.

Pasul 1. Instalați Google-Authenticator pe serverul Fedora 30 utilizând comanda:

$ sudo dnf install -y google-authenticator

Pasul 2. Rulați comanda de mai jos pentru a porni Google-Authenticator pe serverul dvs.:

$ google-autentificator

Va pune câteva întrebări pentru a configura serverul să funcționeze cu dispozitivul dvs. mobil:

Doriți ca jetoanele de autentificare să fie bazate pe timp (y / n) y [Introduceți „Y” aici]

Acesta va afișa un cod QR pe ​​fereastra terminalului; păstrați această fereastră de terminal deschisă pentru moment.

Pasul 3. Instalați aplicația Google-Authenticator pe dispozitivul dvs. mobil și deschideți-o. Acum faceți clic pe opțiunea „Scanați un cod QR.„Acum focalizați camera mobilă pe scanarea codului QR de pe fereastra terminalului serverului dvs.

Pasul 4. După scanarea codului QR, dispozitivul dvs. mobil va adăuga un cont pentru serverul dvs. și va genera un cod aleatoriu care va continua să se schimbe cu un cronometru rotativ, așa cum se arată în imaginea de mai jos:

Pasul 5. Acum reveniți la fereastra terminalului serverului și introduceți aici codul de verificare de pe dispozitivul dvs. mobil. Odată confirmat codul, acesta va genera un set de coduri zero. Aceste coduri de zgârieturi pot fi folosite pentru a vă conecta la server în cazul în care vă pierdeți dispozitivul mobil. Așadar, salvați-le într-un loc sigur.

Pasul 6. În pașii următori, va pune câteva întrebări pentru a finaliza configurarea. Am dat mai jos setul de întrebări și răspunsurile acestora pentru a configura setarea. Puteți schimba aceste răspunsuri în funcție de nevoile dvs.:

Vreți să vă actualizez "/ home / linuxhint /.fișier google_authenticator "? (y / n) y [Introduceți „y” aici]
Doriți să nu permiteți mai multe utilizări ale aceluiași simbol de autentificare? Acest lucru vă restricționează la o singură autentificare aproximativ la fiecare 30 de ani, dar vă crește șansele de a observa sau chiar de a preveni atacurile om-în-mijloc (y / n) y [Introduceți „y” aici]
În mod implicit, aplicația mobilă generează un nou token la fiecare 30 de secunde.Pentru a compensa eventuala distorsiune între client și server, permitem un simbol suplimentar înainte și după ora curentă. Acest lucru permite o distorsiune de timp de până la 30 de secunde între serverul de autentificare și client. Dacă întâmpinați probleme cu o sincronizare slabă a timpului, puteți crește fereastra de la dimensiunea implicită de 3 coduri permise (un cod anterior, codul curent, următorul cod) la 17 coduri permise (cele 8 coduri anterioare, codul curent și cele 8 coduri următoare). Acest lucru va permite o distorsiune de timp de până la 4 minute între client și server. Vrei să faci asta?? (y / n) y [Introduceți „y” aici]
Dacă computerul pe care vă conectați nu este întărit împotriva încercărilor de conectare cu forță brută, puteți activa limitarea ratei pentru modulul de autentificare. În mod implicit, acest lucru limitează atacatorii la cel mult 3 încercări de conectare la fiecare 30 de ani. Doriți să activați limitarea ratei?? (y / n) y [Introduceți „y” aici]

Pasul 7. Acum deschideți fișierul sshd_config cu orice editor

$ sudo vi / etc / ssh / sshd_config

și efectuați pașii următori:

  1. Decomentați și setați Autentificare parolă la da.
  2. Decomentați și setați ChallengeResponseAuthentication la da.
  3. Decomentați și setați Utilizați PAM la da.

Salvați și închideți fișierul.

Pasul 8. Apoi, deschideți / etc / pam.fișier d / sshd

$ sudo vi / etc / pam.d / sshd

și adăugați următoarele rânduri sub linia 'auth substack parola autentificare:

auth a solicitat pam_google_authenticator.asa de

Pasul 9. Porniți și activați serviciul SSH pe serverul Fedora cu comanda:

$ sudo systemctl începe sshd
$ sudo systemctl activează sshd

Toți pașii pentru configurarea serverului sunt acum realizați. Vom trece acum la computerul nostru client, i.e., Xubuntu, în cazul nostru.

Pasul 10. Acum încercați să vă conectați cu SSH de pe mașina Xubuntu la serverul Fedora 30:

$ ssh [e-mail protejat]

După cum puteți vedea, SSH cere mai întâi parola serverului și apoi un cod de verificare de pe dispozitivul dvs. mobil. După ce ați introdus corect codul de verificare, vă puteți conecta la serverul Fedora la distanță.

Concluzie

Felicitări, am configurat cu succes accesul SSH cu autentificare în doi factori pe sistemul de operare Fedora 30. Puteți configura în continuare SSH pentru a utiliza doar un cod de verificare pentru a vă conecta fără parola serverului la distanță.

Jocuri Cum se folosește GameConqueror Cheat Engine în Linux
Cum se folosește GameConqueror Cheat Engine în Linux
Articolul acoperă un ghid despre utilizarea sistemului de înșelăciune GameConqueror în Linux. Mulți utilizatori care joacă jocuri pe Windows folosesc ...
Jocuri Cele mai bune emulatoare pentru console de jocuri pentru Linux
Cele mai bune emulatoare pentru console de jocuri pentru Linux
Acest articol va enumera programele populare de emulare a consolei de jocuri disponibile pentru Linux. Emularea este un strat de compatibilitate softw...
Jocuri Best Linux Distros for Gaming in 2021
Best Linux Distros for Gaming in 2021
The Linux operating system has come a long way from its original, simple, server-based look. This OS has immensely improved in recent years and has no...