Ang "Secure shell" SSH usa ka network protocol alang sa pag-establisar sa usa ka luwas nga koneksyon tali sa mga host, kasagaran sa port 22 (nga mas maayo nga usbon). Ang mga kliyente sa SSH ug mga server sa SSH magamit alang sa kadaghanan sa mga operating system. Halos bisan unsang ubang network protocol nagtrabaho sa sulod sa SSH, nga mao, mahimo ka magtrabaho sa layo sa lain nga kompyuter, magpadala usa ka audio o video stream sa usa ka naka-encrypt nga channel, ug uban pa. Gawas pa, mahimo ka magkonektar sa ubang mga host alang niining hilit nga host.
Ang authentication mahitabo gamit ang password, apan ang mga developers ug system administrators tradisyonal nga naggamit sa SSH keys. Ang problema kay ang pribadong yawe mahimong kawaton. Ang pagdugang sa usa ka passphrase sa teoriya nga nanalipod batok sa pagpangawat sa pribado nga yawe, apan sa praktis, kung gipasa ug gi-cache ang mga yawe, sila . Ang two-factor authentication nakasulbad niini nga problema.
Sa unsa nga paagi sa pagpatuman sa duha ka hinungdan nga pag-ila
Ang mga developers gikan sa Honeycomb bag-o lang gipatik , kung giunsa pagpatuman ang angay nga imprastraktura sa kliyente ug server.
Ang mga panudlo nagtuo nga ikaw adunay usa ka sukaranan nga host nga bukas sa Internet (bastion). Gusto nimo nga makonektar sa kini nga host gikan sa mga laptop o kompyuter pinaagi sa Internet, ug i-access ang tanan nga ubang mga aparato nga naa sa luyo niini. Gisiguro sa 2FA nga dili mahimo sa usa ka tig-atake ang parehas bisan kung maka-access sila sa imong laptop, pananglitan pinaagi sa pag-install sa malware.
Ang una nga kapilian mao ang OTP
OTP - usa ka higayon nga digital nga mga password, nga sa kini nga kaso gamiton alang sa pag-authenticate sa SSH kauban ang yawe. Gisulat sa mga developer nga dili kini usa ka sulundon nga kapilian, tungod kay ang usa ka tig-atake mahimong magpataas sa usa ka peke nga balwarte, makapugong sa imong OTP ug magamit kini. Pero mas maayo kay sa wala.
Sa kini nga kaso, sa kilid sa server, ang mga mosunud nga linya gisulat sa config sa Chef:
metadata.rbattributes/default.rb(saattributes.rb)files/sshdrecipes/default.rb(kopya gikan sarecipe.rb)templates/default/users.oath.erb
Ang bisan unsang OTP nga aplikasyon gi-install sa kilid sa kliyente: Google Authenticator, Authy, Duo, Lastpass, na-install brew install oath-toolkit o apt install oathtool openssl, unya usa ka random base16 string (key) ang namugna. Nakabig kini sa format nga Base32 nga gigamit sa mga mobile authenticator ug direkta nga gi-import sa aplikasyon.
Ingon usa ka sangputanan, mahimo ka magkonektar sa Bastion ug makita nga kini karon nanginahanglan dili lamang usa ka passphrase, apan usa usab ka OTP code alang sa pag-authenticate:
β ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...Ang ikaduha nga kapilian mao ang hardware authentication
Sa kini nga kaso, ang tiggamit dili kinahanglan nga mosulod sa OTP code matag higayon, tungod kay ang ikaduha nga hinungdan nahimo nga hardware device o biometrics.
Dinhi ang configuration sa Chef mas komplikado, ug ang configuration sa kliyente nagdepende sa OS. Apan pagkahuman sa tanan nga mga lakang, ang mga kliyente sa MacOS mahimong makumpirma ang pag-authenticate sa SSH gamit ang usa ka passphrase ug pagbutang usa ka tudlo sa sensor (ikaduha nga hinungdan).
Gikumpirma sa mga tag-iya sa iOS ug Android ang pag-login . Kini usa ka espesyal nga teknolohiya gikan sa Krypt.co, nga mas luwas kaysa OTP.
Sa Linux/ChromeOS adunay opsyon sa pagtrabaho uban sa YubiKey USB tokens. Siyempre, ang usa ka tig-atake mahimong makawat sa imong token, apan wala gihapon siya kahibalo sa passphrase.
Source: www.habr.com