Come abilitare l'autenticazione a due fattori per SSH in Fedora Linux

Felicia Giuliani
Come abilitare l'autenticazione a due fattori per SSH in Fedora Linux

Nel mondo della tecnologia dell'informazione, la sicurezza è una delle principali preoccupazioni in questi giorni. Ogni giorno vengono lanciati attacchi nuovi e sofisticati contro le organizzazioni. Gli amministratori di sistema utilizzano modi diversi per indurire la sicurezza dei loro server. Uno dei modi comuni per interagire con un server è l'utilizzo di SSH (o Secure SHell) protocollo ampiamente utilizzato per la registrazione remota a un server. Oltre agli accessi di shell remoti, viene anche utilizzato per la copia di file tra due computer. A differenza di altri metodi come Telnet, RCP, FTP, ecc., Il protocollo SSH utilizza un meccanismo di crittografia per proteggere la comunicazione tra due host.

La sicurezza fornita dal protocollo SSH può essere ulteriormente migliorata utilizzando l'autenticazione a due fattori. Questo metterà inoltre un muro forte tra il tuo computer ospite e gli aggressori. Per connettersi al server remoto con SSH, avrai bisogno di una password e di un codice di verifica (o OTP) da un'applicazione di autenticatore in esecuzione sul tuo dispositivo mobile. Questo è davvero utile se un utente malintenzionato ruba la tua password, non sarà in grado di accedere al tuo server senza il codice di verifica.

Ci sono molte applicazioni di autenticatore disponibili per dispositivi mobili che eseguono Android o Apple iOS. Questa guida ha utilizzato l'applicazione di Google Authenticator sia per il server Fedora che per il dispositivo mobile.

Cosa copriremo

Questa guida vedrà come possiamo utilizzare l'autenticazione a due fattori con il protocollo SSH per impedire l'accesso non autorizzato alla nostra workstation Fedora 30. Proveremo ad accedere al nostro server Fedora dal macchina client Xubuntu per vedere se l'installazione funziona come previsto. Iniziamo a configurare SSH con autenticazione a due fattori.

Prerequisiti

  1. Un sistema operativo Fedora 30 installato sul server remoto con un account utente "sudo".
  2. Una macchina Xubuntu per accedere al server sopra.
  3. Un dispositivo mobile con un'applicazione di Google-Authenticator installata su di esso.

Panoramica di configurazione

  1. Macchina Fedora 30 con IP: 192.168.43.92
  2. Xubuntu Machine con IP: 192.168.43.71
  3. Dispositivo mobile con applicazione Google-Authenticator.

Passo 1. Installa Google-Autenticatore sul server Fedora 30 utilizzando il comando:

$ sudo dnf install -y google -autenticatore

Passo 2. Esegui il comando seguente per avviare Google-Authenticator sul tuo server:

$ Google-Auhenticator

Farà alcune domande per configurare il server per lavorare con il tuo dispositivo mobile:

Vuoi che i token di autenticazione siano basati sul tempo (y/n) y [Enter 'y' qui]

Verrà visualizzato un codice QR sulla finestra del terminale; Mantieni aperta questa finestra del terminale per ora.

Passaggio 3. Installa l'app Google-Authenticator sul tuo dispositivo mobile e aprila. Ora fai clic sull'opzione 'Scansiona un codice QR.'Ora concentra la tua fotocamera mobile sulla scansione del codice QR sulla finestra terminale del server.

Passaggio 4. Dopo aver scansionato il codice QR, il dispositivo mobile aggiungerà un account per il tuo server e genererà un codice casuale che continuerà a cambiare con un timer rotante, come mostrato nell'immagine seguente:

Passaggio 5. Ora torna alla finestra del terminale del server e inserisci qui il codice di verifica dal tuo dispositivo mobile. Una volta confermato il codice, genererà un set di codice scratch. Questi codici graffiati possono essere utilizzati per accedere al tuo server nel caso in cui perdi il tuo dispositivo mobile. Quindi, salvali in un posto sicuro.

Passaggio 6. Nei ulteriori passaggi, farà alcune domande per completare la configurazione. Abbiamo dato di seguito l'insieme di domande e le loro risposte per configurare la configurazione. Puoi cambiare quelle risposte secondo le tue esigenze:

Vuoi che aggiorni il tuo "/home/linuxhint/.file google_authenticator "? (y/n) y [Immettere 'y' qui]
Vuoi non consentire più usi dello stesso token di autenticazione? Questo ti limita a un accesso circa ogni 30 anni, ma aumenta le tue possibilità di notare o addirittura prevenire gli attacchi man-in-the-middle (y/n) y [Enter 'y' qui]
Per impostazione predefinita, un nuovo token viene generato ogni 30 secondi dall'app mobile.Per compensare il possibile distorsione a tempo tra il client e il server, consentiamo un token extra prima e dopo l'ora corrente. Ciò consente un tempo inclinabile fino a 30 secondi tra il server di autenticazione e il client. Se si riscontrano problemi con scarsa sincronizzazione del tempo, è possibile aumentare la finestra dalla dimensione predefinita di 3 codici consentiti (un codice precedente, il codice corrente, il codice successivo) a 17 codici consentiti (8 codici precedenti, il codice corrente e gli 8 codici successivi). Ciò consentirà per un po 'di inclinazione di un massimo di 4 minuti tra client e server. Vuoi farlo? (y/n) y [Immettere 'y' qui]
Se il computer in cui stai accedendo non è indurito dai tentativi di accesso alla forza bruta, è possibile abilitare il limite della velocità per il modulo di autenticazione. Per impostazione predefinita, questo limita gli aggressori a non più di 3 tentativi di accesso ogni 30 anni. Vuoi abilitare il limite di velocità? (y/n) y [Immettere 'y' qui]

Passaggio 7. Ora apri il file sshd_config con qualsiasi editor

$ sudo vi/etc/ssh/sshd_config

e fare i seguenti passaggi:

  1. Rompere e impostare il Passwordautenticazione a sì.
  2. Rompere e impostare il ChallengeresesAuthentication a sì.
  3. Rompere e impostare il Usepam a sì.

Salva e chiudi il file.

Passaggio 8. Quindi, apri il /etc /pam.file d/sshd

$ sudo vi /etc /pam.d/sshd

e aggiungere le seguenti righe sotto la linea 'AUTH AUTH SFURPONDACK PASMERS AUTH:

AUTH richiesto PAM_GOOGLE_AUTHENTICATOR.COSÌ

Passaggio 9. Avvia e abilita il servizio SSH sul server Fedora con il comando:

$ sudo systemctl avvia sshd
$ sudo systemctl abilita sshd

Tutti i passaggi per la configurazione del server sono ora eseguiti. Ora ci sposteremo sulla nostra macchina client, io.e., Xubuntu, nel nostro caso.

Passaggio 10. Ora prova ad accedere con SSH dalla macchina Xubuntu al server Fedora 30:

$ ssh [email protected]

Come puoi vedere, SSH chiede innanzitutto la password del server e quindi un codice di verifica dal tuo dispositivo mobile. Dopo aver inserito correttamente il codice di verifica, è possibile accedere al server Fedora remoto.

Conclusione

Congratulazioni, abbiamo configurato con successo l'accesso SSH con autenticazione a due fattori su Fedora 30 OS. È possibile configurare ulteriormente SSH per utilizzare solo un codice di verifica da accedere senza la password del server remoto.

c affilato
Qual è la differenza tra classe e oggetto in C#
Una classe è un modello o un modello che definisce le caratteristiche e i comportamenti di un partic...
Nick Marini
Powershell
Cos'è un computatore aggiuntivo in PowerShell?
Il computatore aggiuntivo CMDLET aggiunge il computer locale a un dominio. Se un computer viene aggi...
Artemide Ricci
Oracle Database
Come eseguire il backup di un tavolo in Oracle?
Per creare un backup di una tabella, l'istruzione Crea tabella, il comando Exp o lo strumento SQL De...
Nunzia Martini
Ubuntu
Come installare CUDA sulla top 10 di Ubuntu.Top 10 LTS
Dr. Ursula Marini
AWS
Cos'è Elastic Beanstalk? È paas o iaas?
Dr. Folco Leone
Powershell
Puoi spiegare la funzionalità del comando Get-Location di PowerShell?
Domiziano Conte
Oracle Database
Come trovare il nome del servizio Oracle?
Nestore Caruso
Powershell
Come usare il cmdlet move-elems in PowerShell?
Dr. Folco Leone
Idiota
Come generare un file GIT utilizzando il terminale? | Spiegato
Dr. Folco Leone
Sqlite
Posso usare sqlite online?
Nick Marini
C ++
Come usare le espressioni booleane in C ++
Sarita Negri
c affilato
Come usare la parola chiave di lancio in c#
Dr. Ursula Marini
PHP
Come utilizzare la funzione substr_replace in PHP
Dr. Evita Damico