"Secure shell" SSH ostalarien arteko konexio segurua ezartzeko sare protokoloa da, normalean 22 atakatik (hobe da aldatzea). SSH bezeroak eta SSH zerbitzariak sistema eragile gehienetarako eskuragarri daude. Ia beste edozein sare protokoloak funtzionatzen du SSH barruan, hau da, urrunetik lan egin dezakezu beste ordenagailu batean, audio edo bideo korronte bat enkriptatutako kanal baten bidez transmititu, etab. Gainera,
Autentifikazioa pasahitz baten bidez gertatzen da, baina garatzaileek eta sistema-administratzaileek SSH gakoak erabiltzen dituzte. Arazoa da gako pribatua lapurtu daitekeela. Pasaesaldi bat gehitzeak teorikoki gako pribatuaren lapurretatik babesten du, baina praktikan, gakoak birbidaltzean eta cachean gordetzean,
Nola ezarri bi faktoreko autentifikazioa
Honeycomb-eko garatzaileek duela gutxi argitaratu dute
Argibideek Interneterako irekita dagoen oinarrizko ostalari jakin bat duzula suposatzen dute (bastioia). Ostalari honetara ordenagailu eramangarrietatik edo ordenagailuetatik konektatu nahi duzu Internet bidez, eta atzean dauden beste gailu guztietara sartu. 2FA-k ziurtatzen du erasotzaile batek ezin duela gauza bera egin zure ordenagailu eramangarrirako sarbidea lortu arren, adibidez, malwarea instalatuz.
Lehenengo aukera OTP da
OTP - behin betiko pasahitz digitalak, kasu honetan SSH autentifikaziorako erabiliko direnak gakoarekin batera. Garatzaileek idazten dute hau ez dela aukera aproposa, erasotzaile batek bastioi faltsu bat altxa dezakeelako, zure OTP atzeman eta erabili. Baina ezer baino hobea da.
Kasu honetan, zerbitzariaren aldean, lerro hauek Chef konfigurazioan idazten dira:
metadata.rb
attributes/default.rb
(ofattributes.rb
)files/sshd
recipes/default.rb
(kopiarecipe.rb
)templates/default/users.oath.erb
Edozein OTP aplikazio instalatuta dago bezeroaren aldean: Google Authenticator, Authy, Duo, Lastpass, instalatuta brew install oath-toolkit
edo apt install oathtool openssl
, orduan ausazko base16 katea (gakoa) sortzen da. Mugikorreko autentifikazioek erabiltzen duten Base32 formatura bihurtzen da eta aplikaziora zuzenean inportatzen dute.
Ondorioz, Bastion-era konekta zaitezke eta orain pasaesaldi bat ez ezik, autentifikaziorako OTP kodea ere behar duela ikus dezakezu:
β ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...
Bigarren aukera hardware autentifikazioa da
Kasu honetan, erabiltzaileak ez du aldi bakoitzean OTP kodea sartu behar, bigarren faktorea hardware gailu edo biometria bihurtzen baita.
Hemen Chef-en konfigurazioa apur bat konplexuagoa da eta bezeroaren konfigurazioa sistema eragilearen araberakoa da. Baina urrats guztiak amaitu ondoren, MacOS-eko bezeroek SSHn autentifikazioa berretsi dezakete pasaesaldi bat erabiliz eta hatz bat sentsorean jarriz (bigarren faktorea).
iOS eta Android jabeek saioa hastea berresten dute
Linux/ChromeOS-en YubiKey USB tokenekin lan egiteko aukera dago. Jakina, erasotzaile batek zure tokena lapur dezake, baina oraindik ez du pasaesaldia ezagutzen.
Iturria: www.habr.com