"Séchert Shell" SSH ass en Netzwierkprotokoll fir eng sécher Verbindung tëscht Hosten opzebauen, Standard iwwer Port 22 (wat besser ass ze änneren). SSH Clienten an SSH Server si fir déi meescht Betribssystemer verfügbar. Bal all aner Netzwierkprotokoll funktionnéiert bannent SSH, dat heescht, Dir kënnt op engem anere Computer op afstand schaffen, en Audio oder Video Stream iwwer e verschlësselte Kanal iwwerdroen, etc. Ausserdeem, iwwer SOCKS Proxy op engem Fernhost Dir kënnt mat anere Hosten am Numm vun dësem Fernhost verbannen.

Authentifikatioun geschitt mat engem Passwuert, awer Entwéckler a Systemadministrateuren benotzen traditionell SSH Schlësselen. De Problem ass datt de private Schlëssel ka geklaut ginn. D'Addéiere vun engem Passphrase schützt theoretesch géint Déif vum private Schlëssel, awer an der Praxis, wann Dir Schlësselen weiderginn an cache, kann nach ouni Bestätegung benotzt ginn. Zwee-Faktor Authentifikatioun léist dëse Problem.

Wéi implementéiert zwee-Faktor Authentifikatioun

Entwéckler vun Honeycomb kuerzem publizéiert detailléiert Uweisungen, wéi Dir déi entspriechend Infrastruktur um Client a Server implementéiert.

D'Instruktioune ginn dovun aus, datt Dir e bestëmmte Basishost op den Internet (Bascht) hutt. Dir wëllt mat dësem Host vu Laptops oder Computeren iwwer Internet verbannen, an Zougang zu all aner Apparater, déi hannendrun stinn. 2FA garantéiert datt en Ugräifer datselwecht net maache kann, och wa se Zougang zu Ärem Laptop kréien, zum Beispill andeems Dir Malware installéiert.

Déi éischt Optioun ass OTP

OTP - eng Kéier digital Passwierder, déi an dësem Fall fir SSH Authentifikatioun zesumme mam Schlëssel benotzt ginn. D'Entwéckler schreiwen datt dëst net eng ideal Optioun ass, well en Ugräifer eng gefälschte Bastion kéint erhéijen, Ären OTP ofbriechen an se benotzen. Awer et ass besser wéi näischt.

An dësem Fall, op der Server Säit, ginn déi folgend Zeilen an de Chef Config geschriwwen:

• metadata.rb
• attributes/default.rb (vun attributes.rb)
• files/sshd
• recipes/default.rb (Kopie vun recipe.rb)
• templates/default/users.oath.erb

All OTP Applikatioun ass op der Client Säit installéiert: Google Authenticator, Authy, Duo, Lastpass, installéiert brew install oath-toolkit oder apt install oathtool openssl, da gëtt eng zoufälleg base16 String (Schlëssel) generéiert. Et gëtt an de Base32 Format ëmgewandelt dat mobil Authentifikatioun benotzt an direkt an d'Applikatioun importéiert.

Als Resultat kënnt Dir mat Bastion verbannen a gesinn datt et elo net nëmmen e Passphrase erfuerdert, awer och en OTP Code fir d'Authentifikatioun:

➜ ssh -A bastion
Enter passphrase for key '[snip]': 
One-time password (OATH) for '[user]': 
Welcome to Ubuntu 18.04.1 LTS...

Déi zweet Optioun ass Hardware Authentifikatioun

An dësem Fall ass de Benotzer net erfuerderlech all Kéier den OTP Code anzeginn, well den zweete Faktor den Hardwareapparat oder d'Biometrie gëtt.

Hei ass d'Kachkonfiguratioun e bësse méi komplizéiert, an d'Clientkonfiguratioun hänkt vum OS of. Awer nodeems Dir all d'Schrëtt ofgeschloss hutt, kënnen d'Clienten op MacOS d'Authentifikatioun an der SSH mat engem Passphrase bestätegen an e Fanger op de Sensor setzen (zweet Faktor).

iOS Besëtzer an Android den Entrée confirméieren andeems Dir ee Knäppchen op Ärem Smartphone dréckt. Dëst ass eng speziell Technologie vu Krypt.co, déi nach méi sécher ass wéi OTP.

op LinuxChromeOS huet eng Optioun fir mat YubiKey USB-Tokens ze schaffen. Och wann en Ugräifer Ären Token kéint klauen, géif hien Äert Passwuert ëmmer nach net kennen.

Source: will.com