Google Kimlik Doğrulayıcı’nın İki Faktörlü Kimlik Doğrulaması ile SSH Nasıl Güvende
SSH sunucunuzu, kullanımı kolay iki faktörlü kimlik doğrulamasıyla güven altına almak mı istiyorsunuz? Google, Google Authenticator’ın zamana dayalı bir kerelik parola (TOTP) sistemini SSH sunucunuzla bütünleştirmek için gerekli yazılımı sağlar. Bağlandığınızda, telefonunuzdan telefonunuzdan kod girmeniz gerekir..
Google Authenticator Google’a “ev telefonu” vermiyor - tüm işler SSH sunucunuzda ve telefonunuzda oluyor. Aslında, Google Authenticator tamamen açık kaynak kodludur, bu nedenle kaynak kodunu kendiniz de inceleyebilirsiniz.
Google Authenticator'ı yükleyin
Google Authenticator ile çok faktörlü kimlik doğrulamayı uygulamak için açık kaynaklı Google Authenticator PAM modülüne ihtiyacımız olacak. PAM, “takılabilir kimlik doğrulama modülü” anlamına gelir - farklı kimlik doğrulama türlerini kolayca Linux sistemine bağlamanın bir yolu.
Ubuntu'nun yazılım havuzları, Google Authenticator PAM modülü için kurulumu kolay bir paket içerir. Linux dağıtımınız bunun için bir paket içermiyorsa, Google Kodundaki Google Authenticator indirme sayfasından indirmeniz ve kendiniz derlemeniz gerekir..
Paketi Ubuntu'ya yüklemek için aşağıdaki komutu çalıştırın:
sudo apt-get yüklemek libpam-google-authenticator
(Bu yalnızca PAM modülünü sistemimize kurar - SSH oturumları için manuel olarak etkinleştirmemiz gerekir.)
Bir Kimlik Doğrulama Anahtarı oluşturun
Uzaktan oturum açacağınız kullanıcı olarak giriş yapın ve google-doğrulayıcı bu kullanıcı için gizli bir anahtar oluşturma komutu.
Komutun y yazarak Google Authenticator dosyanızı güncellemesine izin verin. Daha sonra, aynı geçici güvenlik belirtecinin kullanımlarını kısıtlamanıza, belirteçlerin kullanılabileceği zaman penceresini artırmanıza ve izin verilen erişim işlemlerinin kaba kuvvet kırma girişimlerini engellemeye yönelik girişimleri sınırlandırmanıza izin verecek birkaç soru sorulur. Bu seçeneklerin tümü, bazı kullanım kolaylığı için bir miktar güvenlik sağlar.
Google Authenticator size gizli bir anahtar ve birkaç “acil durum kazıma kodu” sunacaktır. Acil durum kazıma kodlarını güvenli bir yere yazın - her biri yalnızca bir kez kullanılabilir ve telefonunuzu kaybederseniz kullanımları amaçlanır..
Telefonunuzdaki Google Authenticator uygulamasında gizli anahtarı girin (resmi uygulamalar Android, iOS ve Blackberry için kullanılabilir). Tarama barkod özelliğini de kullanabilirsiniz - komut çıkışının en üstünde bulunan URL’ye gidin ve telefonunuzun kamerasıyla bir QR kodu tarayabilirsiniz..
Artık telefonunuzda sürekli değişen bir doğrulama koduna sahip olacaksınız..
Birden fazla kullanıcı olarak uzaktan giriş yapmak istiyorsanız, her kullanıcı için bu komutu çalıştırın. Her kullanıcının kendi gizli anahtarı ve kendi kodları olacaktır..
Google Authenticator'ı etkinleştir
Ardından, SSH girişleri için Google Authenticator'a ihtiyacınız olacak. Bunu yapmak için /etc/pam.d/sshd sisteminizde dosya (örneğin, sudo nano /etc/pam.d/sshd komut) ve aşağıdaki satırı dosyaya ekleyin:
yetki gerekli pam_google_authenticator.so
Sonra, aç / Etc / SSH / sshd_config dosyayı bulun ChallengeResponseAuthentication satır ve aşağıdaki gibi okumak için değiştirin:
ChallengeResponseOnalıklama evet
(Eğer ChallengeResponseAuthentication satır zaten mevcut değil, yukarıdaki satırı dosyaya ekleyin.)
Son olarak, değişikliklerin geçerli olması için SSH sunucusunu yeniden başlatın:
sudo service ssh yeniden başlat
SSH üzerinden giriş yapmaya çalıştığınızda hem şifreniz hem de Google Authenticator kodunuz istenir.
