Mae SSH yn brotocol rhwydwaith ar gyfer sefydlu cysylltiad diogel rhwng gwesteiwyr, yn safonol dros borthladd 22 (sy'n well ei newid). Mae cleientiaid SSH a gweinyddwyr SSH ar gael ar gyfer y rhan fwyaf o systemau gweithredu. Mae bron unrhyw brotocol rhwydwaith arall yn gweithio y tu mewn i SSH, hynny yw, gallwch weithio o bell ar gyfrifiadur arall, trosglwyddo ffrwd sain neu fideo dros sianel wedi'i hamgryptio, ac ati. Heblaw, gallwch gysylltu Γ’ gwesteiwyr eraill ar ran y gwesteiwr pell hwn.
Mae dilysu'n digwydd gan ddefnyddio cyfrinair, ond yn draddodiadol mae datblygwyr a gweinyddwyr system yn defnyddio allweddi SSH. Y broblem yw y gellir dwyn yr allwedd breifat. Mae ychwanegu cyfrin-ymadrodd yn ddamcaniaethol yn amddiffyn rhag lladrad yr allwedd breifat, ond yn ymarferol, wrth anfon ymlaen a storio allweddi, maent . Mae dilysu dau ffactor yn datrys y broblem hon.
Sut i weithredu dilysu dau ffactor
Cyhoeddodd datblygwyr o Honeycomb yn ddiweddar , sut i weithredu'r seilwaith priodol ar y cleient a'r gweinydd.
Mae'r cyfarwyddiadau'n cymryd yn ganiataol bod gennych chi westeiwr sylfaenol penodol ar agor i'r Rhyngrwyd (bastion). Rydych chi eisiau cysylltu Γ’'r gwesteiwr hwn o liniaduron neu gyfrifiaduron trwy'r Rhyngrwyd, a chael mynediad at yr holl ddyfeisiau eraill sydd y tu Γ΄l iddo. Mae 2FA yn sicrhau na all ymosodwr wneud yr un peth hyd yn oed os yw'n cael mynediad i'ch gliniadur, er enghraifft trwy osod malware.
Yr opsiwn cyntaf yw OTP
OTP - cyfrineiriau digidol un-amser, a fydd yn yr achos hwn yn cael eu defnyddio ar gyfer dilysu SSH ynghyd Γ’'r allwedd. Mae'r datblygwyr yn ysgrifennu nad yw hwn yn opsiwn delfrydol, oherwydd gallai ymosodwr godi bastion ffug, rhyng-gipio'ch OTP a'i ddefnyddio. Ond mae'n well na dim.
Yn yr achos hwn, ar ochr y gweinydd, mae'r llinellau canlynol wedi'u hysgrifennu yn y ffurfwedd Chef:
metadata.rbattributes/default.rb(oattributes.rb)files/sshdrecipes/default.rb(copi orecipe.rb)templates/default/users.oath.erb
Mae unrhyw raglen OTP wedi'i gosod ar ochr y cleient: Google Authenticator, Authy, Duo, Lastpass, wedi'i osod brew install oath-toolkit neu apt install oathtool openssl, yna mae llinyn base16 ar hap (allwedd) yn cael ei gynhyrchu. Mae'n cael ei drawsnewid i fformat Base32 y mae dilyswyr symudol yn ei ddefnyddio a'i fewnforio'n uniongyrchol i'r cymhwysiad.
O ganlyniad, gallwch gysylltu Γ’ Bastion a gweld ei fod bellach yn gofyn nid yn unig cyfrinair, ond hefyd cod OTP ar gyfer dilysu:
β ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...Yr ail opsiwn yw dilysu caledwedd
Yn yr achos hwn, nid yw'n ofynnol i'r defnyddiwr nodi'r cod OTP bob tro, gan fod yr ail ffactor yn dod yn ddyfais caledwedd neu fiometreg.
Yma mae cyfluniad y Cogydd ychydig yn fwy cymhleth, ac mae cyfluniad y cleient yn dibynnu ar yr OS. Ond ar Γ΄l cwblhau'r holl gamau, gall cleientiaid ar MacOS gadarnhau dilysiad yn SSH gan ddefnyddio cyfrinair a gosod bys ar y synhwyrydd (ail ffactor).
Mae perchnogion iOS ac Android yn cadarnhau mewngofnodi . Mae hon yn dechnoleg arbennig gan Krypt.co, sydd hyd yn oed yn fwy diogel nag OTP.
Ar Linux/ChromeOS mae opsiwn i weithio gyda thocynnau USB YubiKey. Wrth gwrs, gall ymosodwr ddwyn eich tocyn, ond nid yw'n gwybod y cyfrinair o hyd.
Ffynhonnell: hab.com