سنت او اسسیستم عامل لینوکسمدیریت سرورمقالات وب
چگونه SSH را با تایید هویت دو مرحله ای در سنت او اس امن کنیم؟
فاکتور تایید هویت بخشی از اطلاعات است که تایید می کند شما حق دسترسی به سیستم را دارید. SSH به طور پیش فرض از پسورد برای تایید هویت استفاده می کند و این موضوع اصلا خوب نیست زیرا تنها یک فاکتور واحد است و اگر پسورد شما در دسترس افراد قرار گیرد احتمال ربوده شدن اطلاعات افزایش خواهد یافت. در این مقاله سعی می کنیم نحوه تنظیم تایید هویت دو مرحله ای در سنت او اس را با هم مرور کنیم. پس همراه وب ایده باشید.
نصب Google-Authenticator:
اپلیکیشن Google-Authenticator بر روی تمامی گوشی های موبایلی در دسترس است و شما می توانید آن را از گوگل پلی یا فروشگاه اپل دریافت کنید.
نصب PAM گوگل:
PAM زیرساخت تایید هویت بر مبنای سیستم های لینوکسی است که به تایید هویت کاربر می پردازد. شما باید مخزن EPEL را به کمک دستور زیر نصب کنید:
1 | yum install epel-release |
حالا PAM گوگل را نصب نمایید:
1 | yum install google-authenticator |
پیکربندی PAM گوگل:
بعد از اینکه فرایند نصب تکمیل شد، می توانید اسکریپتی را اجرا کنید که به شما کمک می کند کلیدی را برای کاربری که می خواهید فاکتور دوم را برایش اضافه کنید تولید نمایید. این موضوع بدین معنی است که هر کاربری که بخواهد از تایید هویت OTP استفاده کند باید لاگین شود و اسکریپت را اجرا نماید تا بتواند کلید خود را کسب کند. دستور زیر را برای اجرای این اسکریپت وارد نمایید:
1 | google-authenticator |
بعد از اینکه دستور را اجرا کردید چند سوال از شما پرسیده خواهد شد. اولین سوال را با Y پاسخ دهید. بعد از آن کد QR بزرگی بر روی ترمینال ظاهر می شود که باید آن را به کمک گوشی خود اسکن کنید تا پروفایل به طور خودکار به اپلیکیشن اضافه شود. همچنین باید مطمئن شوید که secret key، verification code و emergency scratch codes را یادداشت می کنید تا در صورت بروز مشکل بتوانید باز هم به سرور خود دسترسی داشته باشید. باز هم سوالاتی از شما پرسیده می شود . هر کدام از این سوالات را بررسی کنید و آن ها را با بله یا خیر پاسخ دهید.
پیکربندی SSH:
بعد از اینکه به سوالات پاسخ دادید، PAM گوگل آماده است و پیکربندی شده است. حالا باید SSH خود را پیکربندی کنیم. فایل پیکربندی SSH را با دستور زیر باز کنید:
1 | nano /etc/pam.d/sshd |
خط زیر را به انتهای فایل اضافه کنید:
1 | auth required pam_google_authenticator.so nullok |
حالا باید SSH را به گونه ای پیکربندی کنیم که بتواند از این نوع تایید هویت پشتیبانی کند. فایل sshd_config را با دستور زیر باز کنید:
1 | nano /etc/ssh/sshd_config |
به دنبال خطی باشید که ChallengeResponseAuthentication را دارد. مقدار آن را به yes تغییر دهید:
1 | ChallengeResponseAuthentication yes |
حالا سرویس SSH را ریستارت کنید:
1 | systemctl restart sshd |
از حالا به بعد از شما خواسته می شود کد تایید را وارد کنید که باید از اپلیکیشن Google-Authenticator خود آن را به دست اورید.
