So aktivieren Sie die Zwei-Faktor-Authentifizierung für SSH in Fedora Linux

So aktivieren Sie die Zwei-Faktor-Authentifizierung für SSH in Fedora Linux

In der Welt der Informationstechnologie ist Sicherheit heutzutage ein wichtiges Problem. Jeden Tag werden neue und ausgefeilte Angriffe gegen Organisationen gestartet. Systemadministratoren nutzen unterschiedliche Möglichkeiten, um die Sicherheit ihrer Server zu verhärten. Eine der häufigsten Möglichkeiten, um mit einem Server zu interagieren, ist die Verwendung des SSH (oder SECURE SchELL) Protokoll, das häufig für die Remote -Protokollierung an einem Server verwendet wird. Neben Remote -Shell -Anmeldungen wird es auch zum Kopieren von Dateien zwischen zwei Computern verwendet. Im Gegensatz zu anderen Methoden wie Telnet, RCP, FTP usw., Das SSH -Protokoll verwendet einen Verschlüsselungsmechanismus, um die Kommunikation zwischen zwei Hosts zu sichern.

Die vom SSH-Protokoll bereitgestellte Sicherheit kann durch Verwendung der Zwei-Faktor-Authentifizierung weiter verbessert werden. Dadurch wird eine starke Mauer zwischen Ihrem Host -Computer und den Angreifern weitergeführt. Um eine Verbindung zu Ihrem Remote -Server mit SSH herzustellen, benötigen Sie ein Kennwort sowie einen Verifizierungscode (oder OTP) von einer Authenticator -Anwendung, die auf Ihrem Mobilgerät ausgeführt wird. Dies ist sehr hilfreich, wenn ein Angreifer Ihr Passwort stiehlt, er kann sich ohne den Verifizierungscode nicht bei Ihrem Server anmelden.

Für mobile Geräte stehen viele Authenticator -Anwendungen zur Verfügung, auf denen Android oder Apple iOS ausgeführt wird. Diese Anleitung hat die Google Authenticator -Anwendung sowohl für den Fedora Server als auch für das mobile Gerät verwendet.

Was wir abdecken werden

In diesem Leitfaden wird sehen, wie wir mit SSH-Protokoll eine Zwei-Faktor-Authentifizierung verwenden können, um den unbefugten Zugang zu unserer Fedora 30 Workstation zu verhindern. Wir werden versuchen, uns vom Xubuntu -Client -Computer bei unserem Fedora -Server anzumelden, um festzustellen, ob das Setup wie erwartet funktioniert. Beginnen wir mit der Konfiguration von SSH mit einer Zwei-Faktor-Authentifizierung.

Voraussetzungen

  1. Ein Fedora 30 -Betriebssystem, das auf dem Remote -Server mit einem Sudo -Benutzerkonto installiert ist.
  2. Eine Xubuntu -Maschine zum Zugriff auf den obigen Server.
  3. Ein mobiles Gerät mit einer darauf installierten Google-Authenticator-Anwendung.

Setup -Übersicht

  1. Fedora 30 Maschine mit IP: 192.168.43.92
  2. Xubuntu -Maschine mit IP: 192.168.43.71
  3. Mobiles Gerät mit Google-Authenticator-Anwendung.

Schritt 1. Installieren Sie den Google-Authenticator auf dem Fedora 30 Server mit dem Befehl:

$ sudo dnf install -y google -authenticator

Schritt 2. Führen Sie den folgenden Befehl aus, um den Google-Authenticator auf Ihrem Server zu starten:

$ google-authenticator

Es werden einige Fragen gestellt, um den Server so zu konfigurieren, dass er mit Ihrem mobilen Gerät funktioniert:

Möchten Sie, dass Authentifizierungs-Token zeitbasierte (y/n) Y [Geben Sie hier 'y' ein]

Es zeigt einen QR -Code im Terminalfenster an. Halten Sie dieses Terminalfenster vorerst offen.

Schritt 3. Installieren Sie die Google-Authenticator-App auf Ihrem mobilen Gerät und öffnen Sie sie. Klicken Sie nun auf die Option 'scannen Sie einen QR -Code.'Konzentrieren Sie sich nun Ihre mobile Kamera auf das Scannen des QR -Codes im Terminalfenster Ihres Servers.

Schritt 4. Nach dem Scannen des QR -Codes fügt Ihr mobiles Gerät ein Konto für Ihren Server hinzu und generiert einen zufälligen Code, der sich mit einem rotierenden Timer ändert, wie im folgenden Bild gezeigt:

Schritt 5. Gehen Sie jetzt zurück zu Ihrem Server -Terminalfenster und geben Sie hier den Überprüfungscode von Ihrem mobilen Gerät ein. Sobald der Code bestätigt wurde, generiert er einen Satz von Scratch -Code. Diese Kratzcodes können verwendet werden, um sich bei Ihrem Server anzumelden, falls Sie Ihr mobiles Gerät verlieren. Speichern Sie sie also an einem sicheren Ort.

Schritt 6. In den weiteren Schritten werden einige Fragen gestellt, um die Konfiguration zu beenden. Wir haben unten die Fragen und ihre Antworten zur Konfiguration des Setups gegeben. Sie können diese Antworten gemäß Ihren Bedürfnissen ändern:

Möchten Sie, dass ich Ihre "/home/linuxhint/aktualisieren soll.Google_authenticator "Datei? (y/n) y [Geben Sie hier 'y']
Möchten Sie mehrere Verwendungszwecke desselben Authentifizierungs -Tokens ablehnen?? Dies beschränkt Sie auf ein Anmeldung über alle 30er Jahre, aber es erhöht Ihre Chancen, Angriffe in den Mitte zu bemerken oder sogar zu verhindern, dass sie hier (y/n) y [eingeben "hier eintreten
Standardmäßig wird alle 30 Sekunden ein neues Token von der mobilen App generiert.Um einen möglichen Zeitschmerz zwischen dem Client und dem Server auszugleichen, erlauben wir ein zusätzliches Token vor und nach der aktuellen Zeit. Dies ermöglicht einen Zeitraum von bis zu 30 Sekunden zwischen dem Authentifizierungsserver und dem Client. Wenn Sie Probleme mit einer schlechten Zeitsynchronisation haben, können Sie das Fenster von seiner Standardgröße von 3 zulässigen Codes (ein vorheriger Code, den aktuellen Code, den nächsten Code) auf 17 zulässige Codes (die 8 vorherigen Codes, den aktuellen Code und den aktuellen Code und den aktuellen Code) erhöhen die 8 nächsten Codes). Dies ermöglicht einen Zeitraum von bis zu 4 Minuten zwischen Client und Server. Willst du das tun?? (y/n) y [Geben Sie hier 'y']
Wenn der Computer, in den Sie sich anmelden, nicht mit Brute-Force-Anmeldeversuchen gehärtet ist, können Sie die Rate-Limiting für das Authentifizierungsmodul aktivieren. Standardmäßig begrenzt dies Angreifer auf nicht mehr als 3 Anmeldeberationen alle 30er Jahre. Möchten Sie ratebegrenzte aktivieren? (y/n) y [Geben Sie hier 'y']

Schritt 7. Öffnen Sie nun die Datei sshd_config mit jedem Editor

$ sudo vi/etc/ssh/sshd_config

und machen Sie die folgenden Schritte aus:

  1. Komponent und setzen Sie die PasswortAuthentication zu ja.
  2. Komponent und setzen Sie die ChallengerePonseAthentication zu ja.
  3. Komponent und setzen Sie die Usepam zu ja.

Speichern und schließen Sie die Datei.

Schritt 8. Öffnen Sie als nächstes die /etc /pam.D/SSHD -Datei

$ sudo vi /etc /pam.D/SSHD

und fügen Sie die folgenden Zeilen unter der Zeile hinzu. 'Auth -Substack Passwort auth:

AUTOR ERFORDERUNG PAM_GOOGLE_Authenticator.So

Schritt 9. Starten und aktivieren Sie den SSH -Dienst auf dem Fedora -Server mit dem Befehl:

$ sudo systemctl starten sshd
$ sudo systemctl aktivieren sshd

Alle Schritte zum Konfigurieren des Servers sind jetzt durchgeführt. Wir werden jetzt zu unserem Kundenautomat wechseln, ich.e., Xubuntu in unserem Fall.

Schritt 10. Versuchen Sie nun, sich mit SSH von Xubuntu Machine zum Fedora 30 Server anzumelden:

$ SSH [email protected]

Wie Sie sehen können, fragt der SSH zuerst nach dem Kennwort des Servers und dann nach einem Überprüfungscode von Ihrem mobilen Gerät. Sobald Sie den Verifizierungscode korrekt eingegeben haben, können Sie sich beim Remote Fedora -Server anmelden.

Abschluss

Herzlichen Glückwunsch, wir haben den SSH-Zugriff mit der Zwei-Faktor-Authentifizierung im Fedora 30 OS erfolgreich konfiguriert. Sie können SSH weiter konfigurieren, um nur einen Bestätigungscode zu verwenden, um sich ohne das Remote -Server -Kennwort anzumelden.