השימוש אימות דו שלבי הולך וגדל ככל שעובר הזמן, וזהו אבטחה ברור שזה הופך להיות עניין בעל חשיבות עליונה במחשבים שלנו מכיוון שכמות המידע שאנו מאחסנים עליהם גדלה מחודש לחודש, באופן יחסי כמעט לזמן שאנו מבלים על כל המכשירים שלנו. ולמרות שרבים חושבים כי סיסמה טובה חוסכת אותם מבעיות, זה רק נכון למחצה, שכן לנוכח הערכים שהאקרים מזינים בדרך כלל במקומות רבים, ניתן לעשות דבר ושום דבר אם הושגה מילת המפתח שלנו.
בוא נראה אז, כיצד להוסיף אימות דו שלבי ב- SSH, משהו שיאפשר לנו מציעים גישה מרחוק מאובטח לשרתים שלנו, הן עבורנו והן עבור אלו שניגשים לחשבונות שלהם, על מנת להבטיח רמת אבטחה עקבית יותר. למי שאין שיטה זו במלואה, אמור שהיא מורכבת מ השתמש בסיסמה ואז בקוד שנשלח במסלול אחר (למשל לנייד שלנו) כדי שבהמשך ניכנס אליו ונוכל סוף סוף לגשת לחשבונות שלנו.
דרך פשוטה יחסית להוסיף אימות דו-שלבי היא באמצעות Google Athenticator, הכלי שהשיקה חברת Mountain View למטרות אלה והוא מבוסס על סטנדרטים פתוחים כגון HMAP והוא זמין גם בפלטפורמות שונות, ביניהן Linux. אך גם מכיוון שיש מודולי PAM לכלי זה, אנו יכולים לשלב אותו בפתרונות אבטחה אחרים כגון OpenSSHאז זה בדיוק מה שנראה בהמשך.
למותר לציין שנצטרך מחשב עם לינוקס ו- OpenSSH כבר מותקן, דבר שאנו עושים באובונטו באופן הבא:
sudo apt-get install שרת openssh
ואז, לפיתרון הסלולרי אנו הולכים להתבסס על אנדרואיד ולכן כמובן שנצטרך טאבלט או סמארטפון עם מערכת ההפעלה גוגל, בו נתקין את הכלי של גוגל כפי שנראה בהמשך. עכשיו אנחנו מוכנים להתחיל את ההליך.
קודם כל, אנחנו חייבים להתקין מאמת גוגל, משהו שבמקרה של אובונטו פשוט כמו להריץ את הדברים הבאים במסוף:
sudo apt-get התקן את libpam-google-authenticator
אם מוצגת שגיאה במקום שבו אנו מוזהרים מחוסר הקובץ אבטחה / pam_appl.h, נוכל לפתור את זה על ידי התקנת חבילת libpam0g-dev:
sudo apt-get להתקין libpam0g-dev
כעת, כשיש לנו המאמת של Google, אנו יכולים ליצור את מפתח האימות על ידי ביצוע:
מאמת גוגל
לאחר שנראה זאת נראה קוד QR ומפתח אבטחה מתחתיו (לצד הטקסט 'המפתח הסודי החדש שלך הוא: xxxx', וכן מפתח אימות וקודי חירום, שיעזרו לנו אם אין לנו את מכשיר Android. אנו עונים על השאלות הנשאלות לגבי תצורת השרת, ואם איננו בטוחים מדי נוכל לענות כן לכולן מכיוון שתצורת ברירת המחדל מאובטחת.
עכשיו מגיע הזמן הגדר את מאמת גוגל באנדרואיד, שעבורו אנו מורידים את היישום מחנות Play. בעת ביצועו אנו רואים שמותר לנו לבחור בין הזנת ברקוד או הזנת מפתח, שעבורו נוכל להשתמש בקוד ה- QR שאנו רואים בעת קביעת התצורה של כלי זה בשרת, או להזין את המפתח האלפאנומרי. עבור האחרון אנו בוחרים באפשרות 'אימות ssh' ואז אנו כותבים את הקוד.
ואז נראה מסך אישור, שם מוסבר לנו שההליך הצליח וכי מאותו הרגע נוכל קבל קודי כניסה ביישום זה, אז עכשיו נראה את השלב האחרון, שהוא הפעלת Google Authenticator בשרת SSH. אנו מבצעים:
sudo gedit /etc/pam.d/sshd
ואנחנו מוסיפים את השורה הבאה:
auth נדרש pam_google_authenticator.so
עַכשָׁיו:
sudo gedit / etc / ssh / sshd_config
אנו מחפשים את האפשרות ChallengeResponseAuthication ואנחנו משנים את ערכו ל'כן '.
לבסוף אנו מפעילים מחדש את שרת SSH:
שירות sudo הפעלה מחדש
אנחנו מוכנים, ומעתה נוכל התחבר לשרת SSH עם אימות דו שלבי, עבורו אנו מבצעים את ההליך הרגיל אך נראה כי לפני הזנת הסיסמה שלנו אנו מתבקשים לקבל את קוד האימות; לאחר מכן אנו מריצים את היישום באנדרואיד וכאשר אנו רואים את קוד האבטחה אנו מזינים אותו במחשב (יש לנו 30 שניות לכך, שלאחריו נוצר אוטומטית מפתח חדש) ואז אנו מתבקשים להזין את מפתח ה- SSH שלנו למשך כל לכל החיים.