Korišćenje dvostepena provjera autentičnosti se povećava kako vrijeme prolazi, a je li to sigurnost očigledno je da je stvar od najveće važnosti za naša računara, jer se količina informacija koje u njih pohranjujemo povećava iz mjeseca u mjesec, praktično proporcionalno vremenu koje provodimo na svim našim uređajima. I premda mnogi misle da ih dobra lozinka spašava od problema, to je samo napola istina, budući da se pred unosima koje hakeri obično čine na mnogim mjestima, malo i ništa ne može učiniti ako se dobije naša ključna riječ za unos.
Da vidimo onda, kako dodati autentifikaciju u dva koraka u SSH, nešto što će nam omogućiti nudimo siguran daljinski pristup našim serverima, kako za nas, tako i za one koji pristupaju njihovim računima, kako bi se zajamčio konzistentniji nivo sigurnosti. Za one koji nemaju ovu metodu potpuno na umu, recite da se sastoji od koristite lozinku, a zatim kod koji se šalje drugom rutom (na primjer, na naš mobitel) kako bismo kasnije ušli u njega i konačno mogli pristupiti svojim računima.
Relativno jednostavan način za dodavanje provjere autentičnosti u dva koraka je putem Google Athenticatora, alat koji je kompanija Mountain View pokrenula u ove svrhe i koji se temelji na otvorenim standardima kao što je HMAP, a dostupan je i na raznim platformama, među kojima je i Linux. Ali takođe, budući da postoje PAM moduli za ovaj alat, možemo integrirajte ga u druga sigurnosna rješenja kao što je OpenSSH, pa ćemo upravo to vidjeti sljedeće.
Nepotrebno je reći da će nam trebati računar sa već instaliranim Linuxom i OpenSSH-om, nešto što radimo u Ubuntuu kako slijedi:
Sudo apt-get install opeenssh-server
Zatim ćemo se za mobilno rješenje zasnivati na Androidu, pa će nam naravno trebati tablet ili pametni telefon s Googleovim operativnim sistemom, u koji ćemo instalirati Googleov alat, kao što ćemo vidjeti kasnije. Sada smo spremni za početak postupka.
Prije svega, moramo instalirajte Google Authenticator, nešto što je u slučaju Ubuntu jednostavno kao pokretanje sljedećeg u konzoli:
sudo apt-get install libpam-google-authenticate
Ako se prikaže greška, tamo gdje smo upozoreni na nedostatak datoteke sigurnost / pam_appl.h, možemo to riješiti instaliranjem libpam0g-dev paketa:
sudo apt-get instalirati libpam0g-dev
Sada kada imamo Google Authenticator, možemo generirati autentifikacijski ključ izvršavanjem:
google-autenticator
Nakon toga vidjet ćemo a QR code i sigurnosni ključ ispod njega (pored teksta 'Vaš novi tajni ključ je: xxxx', kao i verifikacijski ključ i kodovi za hitne slučajeve, koji će nam pomoći ako nemamo Android uređaj. Odgovaramo na pitanja koja se postavljaju o konfiguraciji poslužitelja i ako nismo previše sigurni možemo odgovoriti sa svima na njih jer je zadana konfiguracija sigurna.
Sada dolazi vrijeme postavite Google Authenticator na Androidu, za koju aplikaciju preuzimamo iz Play trgovine. Kada ga izvršavamo, vidimo da smijemo birati između unosa crtičnog koda ili unosa ključa, za što možemo koristiti QR kod koji vidimo prilikom konfiguriranja ovog alata na poslužitelju ili unositi alfanumerički ključ. Za ovo drugo biramo opciju 'ssh provjera autentičnosti' i onda napišemo kod.
Tada ćemo vidjeti zaslon za potvrdu, gdje nam se objašnjava da je postupak bio uspješan i da ćemo od tog trenutka moći dobiti kodove za prijavu u toj aplikaciji, pa ćemo sada vidjeti posljednji korak, a to je aktiviranje Google Autentifikatora na SSH serveru. Izvršavamo:
sudo gedit /etc/pam.d/sshd
i dodajemo sljedeći redak:
potrebno je autorizirati pam_google_authenticator.so
Sad:
sudo gedit / etc / ssh / sshd_config
Tražimo opciju ChallengeResponseAuthentication i mijenjamo njegovu vrijednost u "da".
Na kraju ponovo pokrećemo SSH server:
sudo servis ssh restart
Spremni smo i od sada možemo prijava na SSH server s dvostepenom provjerom autentičnosti, za koji provodimo uobičajeni postupak, ali vidjet ćemo da se od nas prije unosa lozinke traži verifikacijski kod; Zatim pokrećemo aplikaciju na Androidu i kada vidimo sigurnosni kod unosimo ga u računalo (za to imamo 30 sekundi, nakon čega se automatski generira novi ključ), a zatim se traži da unesemo naš SSH ključ za cijeli životni vijek.