Jinsi ya Kusanidi Uthibitishaji wa Sababu Mbili kwa SSH kwenye Fedora

Kila siku inaonekana kuwa kuna ukiukaji mwingi wa usalama unaoripotiwa ambapo data yetu iko hatarini. Licha ya ukweli kwamba SSH ni njia salama ya kuanzisha muunganisho kwa mbali kwa mfumo wa Linux, lakini bado, mtumiaji asiyejulikana anaweza kufikia mashine yako ya Linux ikiwa ataiba funguo zako za SSH, hata kama utazima nenosiri au kuruhusu miunganisho ya SSH tu. funguo za umma na za kibinafsi.

Katika makala haya, tutaeleza jinsi ya kusanidi uthibitishaji wa vipengele viwili (2FA) kwa SSH kwenye usambazaji wa Fedora Linux kwa kutumia Kithibitishaji cha Google kufikia mfumo wa Linux wa mbali kwa njia salama zaidi kwa kutoa TOTP (The Time-based One-time-time). Nenosiri) nambari iliyotengenezwa nasibu na programu ya uthibitishaji kwenye simu ya mkononi.

Kumbuka kwamba, unaweza kutumia uthibitishaji wa njia mbili za uthibitishaji wa kifaa chako cha mkononi unaooana na kanuni za TOTP. Kuna programu nyingi zisizolipishwa zinazopatikana kwa Android au IOS zinazotumia TOTP na Kithibitishaji cha Google, lakini makala haya yanatumia Kithibitishaji cha Google kama mfano.

Inasakinisha Kithibitishaji cha Google kwenye Fedora

Kwanza, sakinisha programu ya Kithibitishaji cha Google kwenye seva yako ya Fedora kwa kutumia amri ifuatayo ya dnf.

$ sudo dnf install -y google-authenticator

Baada ya Kithibitishaji cha Google kusakinishwa, sasa unaweza kuendesha programu.

$ google-authenticator

Maombi hukupa maswali kadhaa. Vijisehemu vifuatavyo vinakuonyesha jinsi ya kujibu kwa usanidi salama wa kuridhisha.

Do you want authentication tokens to be time-based (y/n) y Do you want me to update your "/home/user/.google_authenticator" file (y/n)? y

Programu hukupa ufunguo wa siri, nambari ya kuthibitisha na misimbo ya urejeshaji. Weka funguo hizi mahali salama, kwani funguo hizi ndizo njia pekee ya kufikia seva yako ikiwa utapoteza kifaa chako cha rununu.

Kuweka Uthibitishaji wa Simu ya Mkononi

Kwenye simu yako ya rununu, nenda kwenye duka la programu Google Play au iTunes na utafute Kithibitishaji cha Google na usakinishe programu.

Sasa fungua programu ya Kithibitishaji cha Google kwenye simu yako ya mkononi na uchanganue msimbo wa QR unaoonyeshwa kwenye skrini ya terminal ya Fedora. Mara tu uchanganuzi wa msimbo wa QR utakapokamilika, utapata nambari iliyotolewa bila mpangilio na programu ya uthibitishaji na utumie nambari hii kila wakati unapounganisha kwenye seva yako ya Fedora kwa mbali.

Maliza Usanidi wa Kithibitishaji cha Google

Programu ya Kithibitishaji cha Google huuliza maswali zaidi na mfano ufuatao unaonyesha jinsi ya kuyajibu ili kusanidi usanidi salama.

Sasa unahitaji kusanidi SSH ili kutumia uthibitishaji mpya wa njia mbili kama ilivyoelezwa hapa chini.

Sanidi SSH ili Kutumia Kithibitishaji cha Google

Ili kusanidi SSH kutumia programu ya uthibitishaji, kwanza unahitaji kuwa na muunganisho wa SSH unaofanya kazi kwa kutumia vitufe vya SSH vya umma, kwani tutakuwa tunazima miunganisho ya nenosiri.

Fungua faili /etc/pam.d/sshd kwenye seva yako.

$ sudo vi /etc/pam.d/sshd

Toa maoni kwenye mstari wa auth substack password-auth katika faili.

#auth       substack     password-auth

Ifuatayo, weka mstari ufuatao hadi mwisho wa faili.

auth sufficient pam_google_authenticator.so

Hifadhi na funga faili.

Ifuatayo, fungua na uhariri /etc/ssh/sshd_config faili.

$ sudo vi /etc/ssh/sshd_config

Tafuta mstari wa ChallengeResponseAuthentication na uibadilishe kuwa ndiyo.

ChallengeResponseAuthentication yes

Tafuta mstari wa Uthibitishaji Nenosiri na uibadilishe kuwa hapana.

PasswordAuthentication no

Ifuatayo, weka mstari ufuatao hadi mwisho wa faili.

AuthenticationMethods publickey,password publickey,keyboard-interactive

Hifadhi na funga faili, na kisha uanze tena SSH.

$ sudo systemctl restart sshd

Kujaribu Uthibitishaji wa Sababu Mbili kwenye Fedora

Sasa jaribu kuunganisha kwa seva yako kwa mbali, itakuuliza uweke msimbo wa uthibitishaji.

$ ssh [email 

Verification code:

Nambari ya kuthibitisha inatolewa kwa nasibu kwenye simu yako ya mkononi na programu yako ya uthibitishaji. Kwa kuwa msimbo unaozalishwa hubadilika kila baada ya sekunde chache, unahitaji kuiingiza haraka kabla ya kuunda mpya.

Ukiingiza msimbo usio sahihi wa uthibitishaji, hutaweza kuunganisha kwenye mfumo, na utapata ruhusa ifuatayo iliyokataliwa.

$ ssh [email 

Verification code:
Verification code:
Verification code:
Permission denied (keyboard-interactive).

Kwa kutekeleza uthibitishaji huu rahisi wa njia mbili, umeongeza safu ya ziada ya usalama kwenye mfumo wako na vile vile hii inafanya kuwa vigumu kwa mtumiaji asiyejulikana kupata ufikiaji wa seva yako.