"Secure shell" SSH dia protocole tambajotra amin'ny fametrahana fifandraisana azo antoka eo amin'ny mpampiantrano, mahazatra amin'ny port 22 (izay tsara kokoa raha miova). Ny mpanjifa SSH sy ny mpizara SSH dia misy amin'ny ankamaroan'ny rafitra miasa. Saika ny protocole tambajotra hafa rehetra dia miasa ao anatin'ny SSH, izany hoe, afaka miasa lavitra amin'ny solosaina hafa ianao, mamindra feo na horonan-tsary amin'ny fantsona miafina, sns. Ankoatra izany,
Ny fanamarinana dia mitranga amin'ny fampiasana tenimiafina, fa ny mpamorona sy ny mpitantana ny rafitra dia mampiasa ny fanalahidy SSH mahazatra. Ny olana dia ny fanalahidy manokana dia azo angalarina. Miaro amin'ny fangalarana ny fanalahidin'ny tena manokana ny fampidirana fehezanteny iray, saingy amin'ny fampiharana, rehefa mandefa sy mitahiry fanalahidy,
Ahoana ny fampiharana ny fanamarinana roa lafin-javatra
Navoaka vao haingana ireo mpamorona avy amin'ny Honeycomb
Ny toromarika dia mihevitra fa manana mpampiantrano fototra iray misokatra amin'ny Internet ianao (bastion). Te-hifandray amin'ity mpampiantrano ity ianao avy amin'ny solosaina finday na solosaina amin'ny alΓ lan'ny Internet, ary miditra amin'ny fitaovana hafa rehetra ao ambadik'izany. 2FA dia miantoka fa tsy afaka manao toy izany koa ny mpanafika na dia mahazo miditra amin'ny solosainao aza izy ireo, ohatra amin'ny fametrahana malware.
Ny safidy voalohany dia OTP
OTP - tenimiafina nomerika indray mandeha, izay amin'ity tranga ity dia hampiasaina amin'ny fanamarinana SSH miaraka amin'ny fanalahidy. Nanoratra ny mpamorona fa tsy safidy tsara izany, satria ny mpanafika dia afaka manangana bastion sandoka, manakana ny OTP anao ary mampiasa izany. Fa tsara noho ny tsy misy.
Amin'ity tranga ity, amin'ny lafiny server, ireto andalana manaraka ireto dia voasoratra ao amin'ny config Chef:
metadata.rb
attributes/default.rb
(avy amin'nyattributes.rb
)files/sshd
recipes/default.rb
(kopia avy amin'nyrecipe.rb
)templates/default/users.oath.erb
Ny fampiharana OTP rehetra dia napetraka eo amin'ny lafiny mpanjifa: Google Authenticator, Authy, Duo, Lastpass, napetraka brew install oath-toolkit
na apt install oathtool openssl
, dia misy tady base16 kisendrasendra (key). Izy io dia avadika amin'ny endrika Base32 izay ampiasain'ny authenticators finday ary ampidirina mivantana ao amin'ny rindranasa.
Vokatr'izany dia afaka mifandray amin'i Bastion ianao ary mahita fa tsy mila fehezan-teny fotsiny izy io, fa koa code OTP ho an'ny fanamarinana:
β ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...
Ny safidy faharoa dia ny fanamarinana fitaovana
Amin'ity tranga ity, ny mpampiasa dia tsy voatery miditra ny kaody OTP isaky ny mandeha, satria ny faharoa dia lasa fitaovana hardware na biometrika.
Eto dia somary sarotra kokoa ny fanamafisana Chef, ary miankina amin'ny OS ny fanamafisana ny mpanjifa. Saingy rehefa vita ny dingana rehetra, ny mpanjifa amin'ny MacOS dia afaka manamarina ny fanamarinana ao amin'ny SSH amin'ny fampiasana fehezanteny iray ary mametraka rantsantanana eo amin'ny sensor (antony faharoa).
Manamafy ny fidirana ny tompon'ny iOS sy Android
Ao amin'ny Linux/ChromeOS dia misy safidy hiara-miasa amin'ny marika USB YubiKey. Mazava ho azy fa afaka mangalatra ny mari-pamantaranao ny mpanafika, saingy mbola tsy fantany ny fehezan-teny.
Source: www.habr.com