"સુરક્ષિત શેલ" SSH એ યજમાનો વચ્ચે સુરક્ષિત કનેક્શન સ્થાપિત કરવા માટેનું નેટવર્ક પ્રોટોકોલ છે, પ્રમાણભૂત રીતે પોર્ટ 22 પર (જે બદલવું વધુ સારું છે). SSH ક્લાયંટ અને SSH સર્વર્સ મોટાભાગની ઓપરેટિંગ સિસ્ટમો માટે ઉપલબ્ધ છે. લગભગ કોઈપણ અન્ય નેટવર્ક પ્રોટોકોલ SSH ની અંદર કામ કરે છે, એટલે કે, તમે બીજા કમ્પ્યુટર પર રિમોટલી કામ કરી શકો છો, એન્ક્રિપ્ટેડ ચેનલ પર ઑડિઓ અથવા વિડિયો સ્ટ્રીમ ટ્રાન્સમિટ કરી શકો છો, વગેરે. ઉપરાંત, રિમોટ હોસ્ટ પર SOCKS પ્રોક્સી દ્વારા તમે આ રિમોટ હોસ્ટ વતી અન્ય યજમાનો સાથે જોડાઈ શકો છો.

પ્રમાણીકરણ પાસવર્ડનો ઉપયોગ કરીને થાય છે, પરંતુ વિકાસકર્તાઓ અને સિસ્ટમ સંચાલકો પરંપરાગત રીતે SSH કીનો ઉપયોગ કરે છે. સમસ્યા એ છે કે ખાનગી કી ચોરાઈ શકે છે. પાસફ્રેઝ ઉમેરવાથી સૈદ્ધાંતિક રીતે ખાનગી કીની ચોરી સામે રક્ષણ મળે છે, પરંતુ વ્યવહારમાં, કીને ફોરવર્ડ અને કેશ કરતી વખતે, તેઓ હજુ પણ પુષ્ટિ વિના ઉપયોગ કરી શકાય છે. દ્વિ-પરિબળ પ્રમાણીકરણ આ સમસ્યાને હલ કરે છે.

દ્વિ-પરિબળ પ્રમાણીકરણ કેવી રીતે અમલમાં મૂકવું

હનીકોમ્બના વિકાસકર્તાઓએ તાજેતરમાં પ્રકાશિત કર્યું વિગતવાર સૂચનાઓક્લાઈન્ટ અને સર્વર પર યોગ્ય ઈન્ફ્રાસ્ટ્રક્ચર કેવી રીતે અમલમાં મૂકવું.

સૂચનાઓ ધારે છે કે તમારી પાસે ચોક્કસ મૂળભૂત હોસ્ટ ઇન્ટરનેટ (બુઝ) માટે ખુલ્લું છે. તમે ઇન્ટરનેટ દ્વારા લેપટોપ અથવા કમ્પ્યુટર્સથી આ હોસ્ટ સાથે કનેક્ટ થવા માંગો છો, અને તેની પાછળ સ્થિત અન્ય તમામ ઉપકરણોને ઍક્સેસ કરવા માંગો છો. 2FA એ સુનિશ્ચિત કરે છે કે હુમલાખોર તમારા લેપટોપની ઍક્સેસ મેળવે તો પણ તે જ કરી શકશે નહીં, ઉદાહરણ તરીકે માલવેર ઇન્સ્ટોલ કરીને.

પ્રથમ વિકલ્પ OTP છે

OTP - એક વખતના ડિજિટલ પાસવર્ડ્સ, જે આ કિસ્સામાં કી સાથે SSH પ્રમાણીકરણ માટે ઉપયોગમાં લેવાશે. વિકાસકર્તાઓ લખે છે કે આ એક આદર્શ વિકલ્પ નથી, કારણ કે હુમલાખોર નકલી ગઢ ઉભો કરી શકે છે, તમારા OTPને અટકાવી શકે છે અને તેનો ઉપયોગ કરી શકે છે. પરંતુ તે કંઇ કરતાં વધુ સારું છે.

આ કિસ્સામાં, સર્વર બાજુ પર, નીચેની લીટીઓ શેફ રૂપરેખામાં લખેલી છે:

• metadata.rb
• attributes/default.rb (ની attributes.rb)
• files/sshd
• recipes/default.rb (માંથી નકલ recipe.rb)
• templates/default/users.oath.erb

કોઈપણ OTP એપ્લિકેશન ક્લાયંટ બાજુ પર ઇન્સ્ટોલ કરેલી છે: Google Authenticator, Authy, Duo, Lastpass, ઇન્સ્ટોલ કરેલ brew install oath-toolkit અથવા apt install oathtool openssl, પછી રેન્ડમ બેઝ16 સ્ટ્રિંગ (કી) જનરેટ થાય છે. તે બેઝ32 ફોર્મેટમાં રૂપાંતરિત થાય છે જેનો મોબાઇલ ઓથેન્ટિકેટર્સ ઉપયોગ કરે છે અને સીધા જ એપ્લિકેશનમાં આયાત કરે છે.

પરિણામે, તમે Bastion સાથે કનેક્ટ થઈ શકો છો અને જોઈ શકો છો કે તેને હવે માત્ર પાસફ્રેઝ જ નહીં, પણ પ્રમાણીકરણ માટે OTP કોડની પણ જરૂર છે:

➜ ssh -A bastion
Enter passphrase for key '[snip]': 
One-time password (OATH) for '[user]': 
Welcome to Ubuntu 18.04.1 LTS...

બીજો વિકલ્પ હાર્ડવેર પ્રમાણીકરણ છે

આ કિસ્સામાં, વપરાશકર્તાએ દર વખતે OTP કોડ દાખલ કરવો જરૂરી નથી, કારણ કે બીજું પરિબળ હાર્ડવેર ઉપકરણ અથવા બાયોમેટ્રિક્સ બની જાય છે.

અહીં શેફ રૂપરેખાંકન થોડી વધુ જટિલ છે, અને ક્લાયંટ ગોઠવણી OS પર આધારિત છે. પરંતુ તમામ પગલાં પૂર્ણ કર્યા પછી, MacOS પરના ક્લાયંટ પાસફ્રેઝનો ઉપયોગ કરીને અને સેન્સર (બીજા પરિબળ) પર આંગળી મૂકીને SSH માં પ્રમાણીકરણની પુષ્ટિ કરી શકે છે.

iOS અને Android માલિકો લૉગિનની પુષ્ટિ કરે છે તમારા સ્માર્ટફોન પર એક બટન દબાવીને. આ Krypt.co તરફથી એક ખાસ ટેક્નોલોજી છે, જે OTP કરતાં પણ વધુ સુરક્ષિત છે.

Linux/ChromeOS પર YubiKey USB ટોકન્સ સાથે કામ કરવાનો વિકલ્પ છે. અલબત્ત, હુમલાખોર તમારું ટોકન ચોરી શકે છે, પરંતુ તે હજુ પણ પાસફ્રેઝ જાણતો નથી.

સોર્સ: www.habr.com