سنت او اسسیستم عامل لینوکسمدیریت سرورمقالات وب
چگونه SSH را با تایید هویت دو مرحله ای در سنت او اس امن کنیم؟
فاکتور تایید هویت بخشی از اطلاعات است که تایید می کند شما حق دسترسی به سیستم را دارید. SSH به طور پیش فرض از پسورد برای تایید هویت استفاده می کند و این موضوع اصلا خوب نیست زیرا تنها یک فاکتور واحد است و اگر پسورد شما در دسترس افراد قرار گیرد احتمال ربوده شدن اطلاعات افزایش خواهد یافت. در این مقاله سعی می کنیم نحوه تنظیم تایید هویت دو مرحله ای در سنت او اس را با هم مرور کنیم. پس همراه وب ایده باشید.
نصب Google-Authenticator:
اپلیکیشن Google-Authenticator بر روی تمامی گوشی های موبایلی در دسترس است و شما می توانید آن را از گوگل پلی یا فروشگاه اپل دریافت کنید.
نصب PAM گوگل:
PAM زیرساخت تایید هویت بر مبنای سیستم های لینوکسی است که به تایید هویت کاربر می پردازد. شما باید مخزن EPEL را به کمک دستور زیر نصب کنید:
yum install epel-release
حالا PAM گوگل را نصب نمایید:
yum install google-authenticator
پیکربندی PAM گوگل:
بعد از اینکه فرایند نصب تکمیل شد، می توانید اسکریپتی را اجرا کنید که به شما کمک می کند کلیدی را برای کاربری که می خواهید فاکتور دوم را برایش اضافه کنید تولید نمایید. این موضوع بدین معنی است که هر کاربری که بخواهد از تایید هویت OTP استفاده کند باید لاگین شود و اسکریپت را اجرا نماید تا بتواند کلید خود را کسب کند. دستور زیر را برای اجرای این اسکریپت وارد نمایید:
google-authenticator
بعد از اینکه دستور را اجرا کردید چند سوال از شما پرسیده خواهد شد. اولین سوال را با Y پاسخ دهید. بعد از آن کد QR بزرگی بر روی ترمینال ظاهر می شود که باید آن را به کمک گوشی خود اسکن کنید تا پروفایل به طور خودکار به اپلیکیشن اضافه شود. همچنین باید مطمئن شوید که secret key، verification code و emergency scratch codes را یادداشت می کنید تا در صورت بروز مشکل بتوانید باز هم به سرور خود دسترسی داشته باشید. باز هم سوالاتی از شما پرسیده می شود . هر کدام از این سوالات را بررسی کنید و آن ها را با بله یا خیر پاسخ دهید.
پیکربندی SSH:
بعد از اینکه به سوالات پاسخ دادید، PAM گوگل آماده است و پیکربندی شده است. حالا باید SSH خود را پیکربندی کنیم. فایل پیکربندی SSH را با دستور زیر باز کنید:
nano /etc/pam.d/sshd
خط زیر را به انتهای فایل اضافه کنید:
auth required pam_google_authenticator.so nullok
حالا باید SSH را به گونه ای پیکربندی کنیم که بتواند از این نوع تایید هویت پشتیبانی کند. فایل sshd_config را با دستور زیر باز کنید:
nano /etc/ssh/sshd_config
به دنبال خطی باشید که ChallengeResponseAuthentication را دارد. مقدار آن را به yes تغییر دهید:
ChallengeResponseAuthentication yes
حالا سرویس SSH را ریستارت کنید:
systemctl restart sshd
از حالا به بعد از شما خواسته می شود کد تایید را وارد کنید که باید از اپلیکیشن Google-Authenticator خود آن را به دست اورید.
