Is prótacal líonra é SSH “blaosc slán” chun nasc slán a bhunú idir óstaigh, go caighdeánach thar port 22 (is fearr é a athrú). Tá cliaint SSH agus freastalaithe SSH ar fáil don chuid is mó de na córais oibriúcháin. Oibríonn beagnach aon phrótacal líonra eile taobh istigh de SSH, is é sin, is féidir leat oibriú go cianda ar ríomhaire eile, sruth fuaime nó físe a tharchur thar chainéal criptithe, etc. Thairis sin,
Tarlaíonn fíordheimhniú ag baint úsáide as pasfhocal, ach go traidisiúnta úsáideann forbróirí agus riarthóirí córais eochracha SSH. Is í an fhadhb atá ann gur féidir an eochair phríobháideach a ghoid. Má chuirtear pasfhrása leis, cosnaíonn sé go teoiriciúil in aghaidh goid na heochrach, ach go praiticiúil, agus eochracha á gcur ar aghaidh agus á dtaisce,
Conas fíordheimhniú dhá fhachtóir a chur i bhfeidhm
D'fhoilsigh forbróirí ó Honeycomb le déanaí
Glacann na treoracha leis go bhfuil óstach bunúsach áirithe agat ar oscailt don Idirlíon (bastion). Ba mhaith leat ceangal leis an ósta seo ó ríomhairí glúine nó ríomhairí tríd an Idirlíon, agus rochtain a fháil ar gach gléas eile atá taobh thiar de. Cinntíonn 2FA nach féidir le hionsaitheoir an rud céanna a dhéanamh fiú má fhaigheann siad rochtain ar do ríomhaire glúine, mar shampla trí malware a shuiteáil.
Is é an chéad rogha ná OTP
OTP - pasfhocail dhigiteacha aon-uaire, a bheidh sa chás seo a úsáid le haghaidh fíordheimhnithe SSH chomh maith leis an eochair. Scríobhann na forbróirí nach rogha iontach é seo, toisc go bhféadfadh ionsaitheoir bastion falsa a ardú, do OTP a thascradh agus é a úsáid. Ach tá sé níos fearr ná rud ar bith.
Sa chás seo, ar thaobh an fhreastalaí, scríobhtar na línte seo a leanas isteach sa chumraíocht Chef:
metadata.rb
attributes/default.rb
(óattributes.rb
)files/sshd
recipes/default.rb
(cóip órecipe.rb
)templates/default/users.oath.erb
Tá aon fheidhmchlár OTP suiteáilte ar thaobh an chliaint: Google Authenticator, Authy, Duo, Lastpass, suiteáilte brew install oath-toolkit
nó apt install oathtool openssl
, ansin gintear teaghrán randamach base16 (eochair). Déantar é a thiontú go formáid Base32 a úsáideann fíordheimhnitheoirí soghluaiste agus a allmhairítear go díreach isteach san fheidhmchlár.
Mar thoradh air sin, is féidir leat ceangal le Bastion agus a fheiceáil go n-éilíonn sé anois ní hamháin pasfhrása, ach freisin cód OTP le haghaidh fíordheimhnithe:
➜ ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...
Is é an dara rogha fíordheimhniú crua-earraí
Sa chás seo, ní gá don úsáideoir an cód OTP a chur isteach gach uair, ós rud é go dtiocfaidh an dara fachtóir mar fheiste crua-earraí nó bithmhéadracht.
Anseo tá cumraíocht an Chef beagán níos casta, agus braitheann cumraíocht an chliaint ar an OS. Ach tar éis na céimeanna go léir a chomhlánú, is féidir le cliaint ar MacOS fíordheimhniú a dhearbhú i SSH ag baint úsáide as pasfhrása agus méar a chur ar an braiteoir (dara fachtóir).
Deimhníonn úinéirí iOS agus Android logáil isteach
Ar Linux/ChromeOS tá rogha ann oibriú le comharthaí USB YubiKey. Ar ndóigh, is féidir le hionsaitheoir do chomhartha a ghoid, ach níl an pasfhrása ar eolas aige go fóill.
Foinse: will.com