Is prótacal líonra é SSH “blaosc slán” chun nasc slán a bhunú idir óstaigh, go caighdeánach thar port 22 (is fearr é a athrú). Tá cliaint SSH agus freastalaithe SSH ar fáil don chuid is mó de na córais oibriúcháin. Oibríonn beagnach aon phrótacal líonra eile taobh istigh de SSH, is é sin, is féidir leat oibriú go cianda ar ríomhaire eile, sruth fuaime nó físe a tharchur thar chainéal criptithe, etc. Thairis sin, is féidir leat nascadh le hóstach eile ar son an chianóstach seo.
Tarlaíonn fíordheimhniú ag baint úsáide as pasfhocal, ach go traidisiúnta úsáideann forbróirí agus riarthóirí córais eochracha SSH. Is í an fhadhb atá ann gur féidir an eochair phríobháideach a ghoid. Má chuirtear pasfhrása leis, cosnaíonn sé go teoiriciúil in aghaidh goid na heochrach, ach go praiticiúil, agus eochracha á gcur ar aghaidh agus á dtaisce, . Réitíonn fíordheimhniú dhá fhachtóir an fhadhb seo.
Conas fíordheimhniú dhá fhachtóir a chur i bhfeidhm
D'fhoilsigh forbróirí ó Honeycomb le déanaí , conas an bonneagar cuí a chur i bhfeidhm ar an gcliant agus ar an bhfreastalaí.
Glacann na treoracha leis go bhfuil óstach bunúsach áirithe agat ar oscailt don Idirlíon (bastion). Ba mhaith leat ceangal leis an ósta seo ó ríomhairí glúine nó ríomhairí tríd an Idirlíon, agus rochtain a fháil ar gach gléas eile atá taobh thiar de. Cinntíonn 2FA nach féidir le hionsaitheoir an rud céanna a dhéanamh fiú má fhaigheann siad rochtain ar do ríomhaire glúine, mar shampla trí malware a shuiteáil.
Is é an chéad rogha ná OTP
OTP - pasfhocail dhigiteacha aon-uaire, a bheidh sa chás seo a úsáid le haghaidh fíordheimhnithe SSH chomh maith leis an eochair. Scríobhann na forbróirí nach rogha iontach é seo, toisc go bhféadfadh ionsaitheoir bastion falsa a ardú, do OTP a thascradh agus é a úsáid. Ach tá sé níos fearr ná rud ar bith.
Sa chás seo, ar thaobh an fhreastalaí, scríobhtar na línte seo a leanas isteach sa chumraíocht Chef:
metadata.rbattributes/default.rb(óattributes.rb)files/sshdrecipes/default.rb(cóip órecipe.rb)templates/default/users.oath.erb
Tá aon fheidhmchlár OTP suiteáilte ar thaobh an chliaint: Google Authenticator, Authy, Duo, Lastpass, suiteáilte brew install oath-toolkit nó apt install oathtool openssl, ansin gintear teaghrán randamach base16 (eochair). Déantar é a thiontú go formáid Base32 a úsáideann fíordheimhnitheoirí soghluaiste agus a allmhairítear go díreach isteach san fheidhmchlár.
Mar thoradh air sin, is féidir leat ceangal le Bastion agus a fheiceáil go n-éilíonn sé anois ní hamháin pasfhrása, ach freisin cód OTP le haghaidh fíordheimhnithe:
➜ ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...Is é an dara rogha fíordheimhniú crua-earraí
Sa chás seo, ní gá don úsáideoir an cód OTP a chur isteach gach uair, ós rud é go dtiocfaidh an dara fachtóir mar fheiste crua-earraí nó bithmhéadracht.
Anseo tá cumraíocht an Chef beagán níos casta, agus braitheann cumraíocht an chliaint ar an OS. Ach tar éis na céimeanna go léir a chomhlánú, is féidir le cliaint ar MacOS fíordheimhniú a dhearbhú i SSH ag baint úsáide as pasfhrása agus méar a chur ar an braiteoir (dara fachtóir).
Deimhníonn úinéirí iOS agus Android logáil isteach . Is teicneolaíocht speisialta é seo ó Krypt.co, atá níos sláine fós ná OTP.
Ar Linux/ChromeOS tá rogha ann oibriú le comharthaí USB YubiKey. Ar ndóigh, is féidir le hionsaitheoir do chomhartha a ghoid, ach níl an pasfhrása ar eolas aige go fóill.
Foinse: will.com