Tha SSH na phròtacal lìonraidh airson ceangal tèarainte a stèidheachadh eadar luchd-aoigheachd, gu h-àbhaisteach thairis air port 22 (a tha nas fheàrr atharrachadh). Tha teachdaichean SSH agus frithealaichean SSH rim faighinn airson a’ mhòr-chuid de shiostaman obrachaidh. Bidh cha mhòr protocol lìonra sam bith eile ag obair taobh a-staigh SSH, is e sin, faodaidh tu obrachadh air astar air coimpiutair eile, sruth claisneachd no bhidio a chuir thairis air seanal crioptaichte, msaa. A bharrachd air sin,
Bidh dearbhadh a’ tachairt a’ cleachdadh facal-faire, ach gu traidiseanta bidh luchd-leasachaidh agus rianadairean siostaim a’ cleachdadh iuchraichean SSH. Is e an duilgheadas a th’ ann gum faodar an iuchair phrìobhaideach a ghoid. Le bhith a’ cur abairt-fhaire ris gu teòiridheach dìonaidh e an aghaidh goid na h-iuchrach phrìobhaideach, ach ann an cleachdadh, nuair a bhios iad a’ cur air adhart agus a’ tasgadh iuchraichean, bidh iad
Mar a chuireas tu dearbhadh dà-fhactar an gnìomh
Dh'fhoillsich luchd-leasachaidh bho Honeycomb o chionn ghoirid
Tha an stiùireadh a’ gabhail ris gu bheil aoigh bunaiteach sònraichte agad fosgailte don eadar-lìn (bastion). Tha thu airson ceangal ris an aoigh seo bho choimpiutairean-uchd no coimpiutairean tron eadar-lìn, agus faighinn chun a h-uile inneal eile a tha air a chùlaibh. Bidh 2FA a’ dèanamh cinnteach nach urrainn do neach-ionnsaigh an aon rud a dhèanamh eadhon ged a gheibh iad cothrom air an laptop agad, mar eisimpleir le bhith a’ stàladh malware.
Tha a 'chiad roghainn - OTP
OTP - faclan-faire didseatach aon-ùine, a thèid a chleachdadh sa chùis seo airson dearbhadh SSH còmhla ris an iuchair. Bidh an luchd-leasachaidh a’ sgrìobhadh nach eil seo na dheagh roghainn, oir dh’ fhaodadh neach-ionnsaigh bastion meallta a thogail, stad a chuir air an OTP agad agus a chleachdadh. Ach tha e nas fheàrr na dad.
Anns a 'chùis seo, air taobh an fhrithealaiche, tha na loidhnichean a leanas air an sgrìobhadh a-steach don Chef config:
metadata.rb
attributes/default.rb
(bhoattributes.rb
)files/sshd
recipes/default.rb
(leth-bhreac bhorecipe.rb
)templates/default/users.oath.erb
Tha tagradh OTP sam bith air a chuir a-steach air taobh an neach-dèiligidh: Google Authenticator, Authy, Duo, Lastpass, air a chuir a-steach brew install oath-toolkit
no apt install oathtool openssl
, an uairsin thèid sreang base16 air thuaiream (iuchrach) a chruthachadh. Tha e air a thionndadh gu cruth Base32 a bhios luchd-dearbhaidh gluasadach a’ cleachdadh agus air a thoirt a-steach gu dìreach a-steach don tagradh.
Mar thoradh air an sin, faodaidh tu ceangal ri Bastion agus faicinn gu bheil e a-nis a’ feumachdainn chan e a-mhàin abairt-fhaire, ach cuideachd còd OTP airson dearbhadh:
➜ ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...
Is e an dàrna roghainn dearbhadh bathar-cruaidh
Anns a 'chùis seo, chan fheum an neach-cleachdaidh a dhol a-steach don chòd OTP a h-uile turas, oir bidh an dàrna bàillidh gu bhith na inneal cruaidh-chruaidh no biometrics.
An seo tha rèiteachadh a’ chòcaire beagan nas iom-fhillte, agus tha rèiteachadh an neach-dèiligidh an urra ris an OS. Ach an dèidh crìoch a chur air a h-uile ceum, faodaidh luchd-dèiligidh air MacOS dearbhadh a dhearbhadh ann an SSH le bhith a 'cleachdadh facal-faire agus a' cur meur air an sensor (dàrna factar).
Bidh sealbhadairean iOS agus Android a’ dearbhadh logadh a-steach
Air Linux / ChromeOS tha roghainn ann a bhith ag obair le YubiKey USB tokens. Gu dearbh, faodaidh neach-ionnsaigh an comharra agad a ghoid, ach chan eil e eòlach air an abairt-fhaire fhathast.
Source: www.habr.com