Použitie dvojstupňová autentifikácia s časom plynie a je to tak zabezpečenia Je zrejmé, že v našich počítačoch je otázka najvyššieho významu, pretože množstvo informácií, ktoré v nich ukladáme, sa zvyšuje mesiac čo mesiac, prakticky úmerne času, ktorý strávime na všetkých našich zariadeniach. A hoci si mnohí myslia, že dobré heslo ich zachráni pred problémami, je to len polovičná pravda, pretože tvárou v tvár záznamom, ktoré hackeri zvyčajne vytvárajú na mnohých miestach, sa nedá urobiť nič a nič, ak by sa získalo naše kľúčové slovo vstupu.
Pozrime sa teda, ako pridať dvojstupňové overenie v SSH, niečo, čo nám umožní ponúkame bezpečný vzdialený prístup k našim serverom, a to ako pre nás, tak aj pre tých, ktorí pristupujú k svojim účtom, s cieľom zaručiť jednotnejšiu úroveň zabezpečenia. Pre tých, ktorí si nie sú úplne vedomí tejto metódy, povedzte, že pozostáva z použite heslo a potom kód, ktorý sa odošle inou cestou (napríklad do nášho mobilu), aby sme ho neskôr zadali a aby sme mali konečne prístup k svojim účtom.
Relatívne jednoduchý spôsob pridania dvojstupňovej autentifikácie je cez Google Athenticator, nástroj, ktorý spoločnosť Mountain View uviedla na tieto účely a ktorý je založený na otvorených štandardoch, ako je HMAP, a je k dispozícii aj na rôznych platformách, medzi nimi aj Linux. Ale keďže tento nástroj obsahuje aj moduly PAM, môžeme integrovať ho do ďalších bezpečnostných riešení, ako je OpenSSH, takže to je presne to, čo uvidíme ďalej.
Netreba dodávať, že budeme potrebovať počítač s už nainštalovaným Linuxom a OpenSSH, čo v Ubuntu robíme nasledovne:
sudo apt-get nainštalovať openssh-server
Potom budeme pre mobilné riešenie vychádzať z Androidu, takže samozrejme budeme potrebovať tablet alebo smartphone s operačným systémom Google, do ktorého si nainštalujeme nástroj Google, ako uvidíme neskôr. Teraz sme pripravení začať postup.
V prvom rade musíme nainštalujte si aplikáciu Google Authenticator, čo je v prípade Ubuntu také jednoduché ako spustenie nasledujúceho v konzole:
sudo apt-get nainštalujte libpam-google-authenticator
Ak sa zobrazí chyba, sme varovaní pred nedostatkom súboru zabezpečenie / pam_appl.h, môžeme to vyriešiť inštaláciou balíka libpam0g-dev:
sudo apt-get nainštalovať libpam0g-dev
Teraz, keď pracujeme s programom Google Authenticator, môžeme vygenerovať overovací kľúč vykonaním:
google-authenticator
Potom uvidíme a QR code a bezpečnostný kľúč pod ním (vedľa textu „Váš nový tajný kľúč je: xxxx“), okrem overovacieho kľúča a núdzových kódov, ktoré používame v prípade, že nemáme Zariadenie Android. Odpovedáme na otázky týkajúce sa konfigurácie servera. Ak si nie sme istí, môžeme na všetky odpovedať kladne, pretože predvolená konfigurácia je zabezpečená.
Teraz prichádza ten správny čas nastaviť Google Authenticator pre Android, pre ktorú si sťahujeme aplikáciu z Obchodu Play. Pri jeho vykonávaní vidíme, že si môžeme zvoliť medzi zadaním čiarového kódu alebo zadaním kľúča, na čo môžeme použiť QR kód, ktorý vidíme pri konfigurácii tohto nástroja na serveri, alebo zadať alfanumerický kľúč. Pre druhú možnosť vyberieme 'ssh autentifikácia' a potom napíšeme kód.
Potom sa nám zobrazí potvrdzovacia obrazovka, na ktorej je vysvetlené, že postup bol úspešný a že od tejto chvíle budeme môcť získajte prihlasovacie kódy v tejto aplikácii, takže teraz uvidíme posledný krok, ktorým je aktivácia aplikácie Google Authenticator na serveri SSH. Vykonávame:
sudo gedit /etc/pam.d/sshd
a pridáme nasledujúci riadok:
vyžaduje sa autorizácia pam_google_authenticator.so
Teraz:
sudo gedit / etc / ssh / sshd_config
Hľadáme možnosť ChallengeResponseAuthentication a zmeníme jeho hodnotu na „áno“.
Nakoniec reštartujeme server SSH:
sudo služba ssh reštart
Sme pripravení a odteraz môžeme prihlásiť sa na server SSH pomocou dvojstupňovej autentifikácie, pre ktoré vykonávame obvyklý postup, ale uvidíme, že pred zadaním hesla sme požiadaní o overovací kód; potom spustíme aplikáciu na Androide a keď uvidíme bezpečnostný kód, zadáme ho do počítača (máme na to 30 sekúnd, po ktorých sa automaticky vygeneruje nový kľúč) a potom sa zobrazí výzva na zadanie nášho SSH kľúča pre celú život.