Korištenje dvostepena provjera autentičnosti se povećava kako vrijeme prolazi, a je li to sigurnosti očito je da je stvar od najveće važnosti za naša računala, jer se količina podataka koje u njih pohranjujemo povećava iz mjeseca u mjesec, praktički proporcionalno vremenu koje provodimo na svim našim uređajima. Iako mnogi misle da ih dobra lozinka spašava od problema, to je samo napola istina, budući da se pred unosima koje hakeri obično čine na mnogim mjestima, malo i ništa ne može učiniti ako se dobije naša ključna riječ za unos.
Da vidimo onda, kako dodati autentifikaciju u dva koraka u SSH, nešto što će nam omogućiti nudimo siguran daljinski pristup našim poslužiteljima, kako za nas, tako i za one koji pristupaju njihovim računima, kako bi se zajamčila dosljednija razina sigurnosti. Za one koji nemaju ovu metodu potpuno na umu, recite da se sastoji od upotrijebite lozinku, a zatim kod koji se šalje drugim putem (na primjer, na naš mobitel) kako bismo kasnije ušli u njega i konačno mogli pristupiti svojim računima.
Relativno jednostavan način dodavanja provjere autentičnosti u dva koraka je putem Google Athenticatora, alat koji je tvrtka Mountain View pokrenula u ove svrhe i koji se temelji na otvorenim standardima kao što je HMAP, a dostupan je i na raznim platformama, među kojima je i Linux. Ali također, budući da postoje PAM moduli za ovaj alat, možemo integrirati ga u druga sigurnosna rješenja kao što je OpenSSH, pa ćemo upravo to vidjeti sljedeće.
Nepotrebno je reći da će nam trebati računalo s već instaliranim Linuxom i OpenSSH-om, nešto što u Ubuntuu radimo kako slijedi:
sudo apt-get instalirajte openssh-poslužitelj
Zatim ćemo se za mobilno rješenje temeljiti na Androidu, pa će nam naravno trebati tablet ili pametni telefon s Googleovim operativnim sustavom, u koji ćemo instalirati Googleov alat kao što ćemo vidjeti kasnije. Sada smo spremni za početak postupka.
Prije svega, moramo instalirajte Google Authenticator, nešto što je u slučaju Ubuntu jednostavno kao pokretanje sljedećeg u konzoli:
sudo apt-get instalirati libpam-google-authenticate
Ako se prikaže pogreška tamo gdje smo upozoreni na nedostatak datoteke sigurnost / pam_appl.h, to možemo riješiti instaliranjem libpam0g-dev paketa:
sudo apt-get instalirati libpam0g-dev
Sada kada imamo Google Authenticator, možemo generirati autentifikacijski ključ izvršavanjem:
Google-autentikator
Nakon toga vidjet ćemo a QR kod i sigurnosni ključ ispod njega (pored teksta "Vaš novi tajni ključ je: xxxx", kao i kontrolni ključ i kodovi za hitne slučajeve, koji će nam pomoći ako nemamo Android uređaj. Odgovaramo na pitanja koja se postavljaju o konfiguraciji poslužitelja, a ako nismo previše sigurni, možemo odgovoriti potvrdno na sva jer je zadana konfiguracija sigurna.
Sada dolazi vrijeme za postaviti Google autentifikator na Androidu, za koji aplikaciju preuzimamo iz Trgovine Play. Kada ga izvršavamo, vidimo da smijemo birati između unosa crtičnog koda ili unosa ključa, za što možemo koristiti QR kod koji vidimo prilikom konfiguriranja ovog alata na poslužitelju ili unositi alfanumerički ključ. Za potonje odabiremo opciju 'ssh provjera autentičnosti' a zatim napišemo kod.
Tada ćemo vidjeti zaslon za potvrdu, gdje nam se objašnjava da je postupak bio uspješan i da ćemo od tog trenutka moći dobiti kodove za prijavu u toj aplikaciji, pa ćemo sada vidjeti posljednji korak, a to je aktiviranje Google Autentifikatora na SSH poslužitelju. Izvršavamo:
sudo gedit /etc/pam.d/sshd
i dodajemo sljedeći redak:
potrebno je autorizirati pam_google_authenticator.so
Sada:
sudo gedit / etc / ssh / sshd_config
Tražimo opciju ChallengeResponseAuthentication a njegovu vrijednost mijenjamo u "da".
Na kraju ponovno pokrećemo SSH poslužitelj:
sudo servis ssh restart
Spremni smo i od sada možemo prijava na SSH poslužitelj s provjerom autentičnosti u dva koraka, za koji provodimo uobičajeni postupak, ali vidjet ćemo da će nas prije unosa lozinke tražiti kontrolni kod; zatim pokrenemo aplikaciju na Androidu i kad vidimo sigurnosni kod unesemo ga na računalo (za to imamo 30 sekundi, nakon čega se automatski generira novi ključ), a zatim se traži da unesemo svoj SSH ključ za cijeli doživotno.