Използването на двустепенно удостоверяване се увеличава с течение на времето и това ли е сигурност очевидно става въпрос от изключителна важност за нашите компютри, тъй като количеството информация, която съхраняваме на тях, се увеличава от месец на месец, практически пропорционално на времето, което прекарваме на всички наши устройства. И въпреки че мнозина смятат, че добрата парола ги спасява от неприятности, това е вярно само наполовина, тъй като в лицето на записите, които хакерите обикновено правят на много места, малко и нищо не може да се направи, ако нашата ключова дума за влизане е получена.
Нека да видим тогава, как да добавя удостоверяване в две стъпки в SSH, нещо, което ще ни позволи предлагаме сигурен отдалечен достъп до нашите сървъри, както за нас, така и за тези, които имат достъп до техните акаунти, за да се гарантира по-последователно ниво на сигурност. За тези, които не са напълно наясно с този метод, кажете, че той се състои от използвайте паролата и след това код, който се изпраща по друг маршрут (например към нашия мобилен телефон), така че по-късно да влезем в него и най-после да имаме достъп до нашите акаунти.
Сравнително лесен начин за добавяне на двуетапно удостоверяване е чрез Google Athenticator, инструментът, който компанията Mountain View пусна за тези цели и който се основава на отворени стандарти като HMAP и е достъпен и на различни платформи, сред които и Linux. Но също така, тъй като има PAM модули за този инструмент, ние можем интегрирайте го в други решения за сигурност като OpenSSH, така че точно това ще видим по-нататък.
Излишно е да казваме, че ще ни трябва компютър с Linux и OpenSSH, които вече са инсталирани, нещо, което правим в Ubuntu, както следва:
sudo apt-get инсталирайте openssh-сървър
След това за мобилното решение ще се основаваме на Android, така че разбира се ще ни трябва таблет или смартфон с операционната система Google, в които ще инсталираме инструмента Google, както ще видим по-късно. Сега сме готови да започнем процедурата.
На първо място, трябва инсталирайте Google Authenticator, нещо, което в случая на Ubuntu е толкова просто, колкото да стартирате следното в конзолата:
sudo apt-get инсталирайте libpam-google-authenticate
Ако се покаже грешка, където сме предупредени за липсата на файла сигурност / pam_appl.h, можем да го разрешим, като инсталираме пакета libpam0g-dev:
sudo apt-get инсталирайте libpam0g-dev
След като работим с Google Authenticator, можем да генерираме ключа за удостоверяване, като изпълним:
Google Удостоверител
След това ще видим a QR код и ключ за сигурност под него (до текста „Вашият нов таен ключ е: xxxx“, както и ключ за проверка и аварийни кодове, които ще ни помогнат, ако нямаме Устройство с Android. Отговаряме на зададените въпроси относно конфигурацията на сървъра и ако не сме твърде сигурни, можем да отговорим да на всички, тъй като конфигурацията по подразбиране е сигурна.
Сега идва моментът настройте Google Authenticator на Android, за което изтегляме приложението от Play Store. Когато го изпълняваме, виждаме, че ни е позволено да избираме между въвеждане на баркод или въвеждане на ключ, за което можем да използваме QR кода, който виждаме при конфигурирането на този инструмент на сървъра, или да въведем буквено-цифровия ключ. За последното избираме опцията 'ssh удостоверяване' и след това пишем кода.
След това ще видим екран за потвърждение, където ни се обяснява, че процедурата е била успешна и че от този момент нататък ще можем да вземете кодове за вход в това приложение, така че сега ще видим последната стъпка, която е да активираме Google Authenticator на SSH сървъра. Изпълняваме:
sudo gedit /etc/pam.d/sshd
и добавяме следния ред:
задължително удостоверяване pam_google_authenticator.so
Сега:
sudo gedit / etc / ssh / sshd_config
Търсим опцията ChallengeResponseУдостоверяване и променяме стойността му на „да“.
Накрая рестартираме SSH сървъра:
sudo service ssh рестартиране
Готови сме и отсега нататък можем влезте в SSH сървър с двуетапно удостоверяване, за което изпълняваме обичайната процедура, но ще видим, че преди въвеждане на нашата парола ни се иска кода за проверка; след това стартираме приложението на Android и когато видим кода за защита, го въвеждаме на компютъра (имаме 30 секунди за това, след което автоматично се генерира нов ключ) и след това се иска да въведем нашия SSH ключ за целия живот.