"خوندي شیل" SSH د کوربه تر مینځ د خوندي پیوستون رامینځته کولو لپاره د شبکې پروتوکول دی ، په معیاري ډول د 22 پورټ (کوم چې بدلول غوره دي). د SSH پیرودونکي او SSH سرورونه د ډیری عملیاتي سیسټمونو لپاره شتون لري. نږدې کوم بل د شبکې پروتوکول د SSH دننه کار کوي ، دا دی ، تاسو کولی شئ په بل کمپیوټر کې له لرې کار څخه کار واخلئ ، په کوډ شوي چینل کې آډیو یا ویډیو جریان لیږدئ ، او داسې نور. سربیره پردې، په لیرې کوربه کې د SOCKS پراکسي له لارې تاسو کولی شئ د دې لیرې کوربه په استازیتوب نورو کوربه سره وصل شئ.

تصدیق د پاسورډ په کارولو سره پیښیږي ، مګر پراختیا کونکي او د سیسټم مدیران په دودیز ډول د SSH کیلي کاروي. ستونزه دا ده چې شخصي کیلي غلا کیدی شي. د پاسفراس اضافه کول په تیوريکي توګه د شخصي کیلي غلا څخه ساتنه کوي، مګر په عمل کې، کله چې کیلي فارورډ او کیچ کول، دوی بیا هم د تایید پرته کارول کیدی شي. دوه فکتور تصدیق دا ستونزه حل کوي.

د دوه فاکتور تصدیق پلي کولو څرنګوالی

د Honeycomb څخه پراختیا کونکي پدې وروستیو کې خپاره شوي تفصيلي لارښوونې، څنګه په مراجعینو او سرور کې مناسب زیربنا پلي کول.

لارښوونې داسې انګیرل کیږي چې تاسو یو ځانګړی بنسټیز کوربه لرئ چې انټرنیټ (بست) ته خلاص دی. تاسو غواړئ د انټرنیټ له لارې د لپټاپ یا کمپیوټر څخه دې کوربه سره وصل شئ، او نورو ټولو وسیلو ته لاسرسی ومومئ چې د هغې شاته موقعیت لري. 2FA ډاډ ورکوي چې برید کونکی نشي کولی ورته کار وکړي حتی که دوی ستاسو لپ ټاپ ته لاسرسی ومومي ، د مثال په توګه د مالویر نصبولو سره.

لومړی اختیار OTP دی

OTP - یو ځل ډیجیټل پاسورډونه، کوم چې پدې حالت کې به د کیلي سره د SSH تصدیق کولو لپاره وکارول شي. پراختیا کونکي لیکي چې دا یو مثالی اختیار ندی ، ځکه چې برید کونکی کولی شي جعلي مرکز رامینځته کړي ، ستاسو OTP مداخله وکړي او وکاروئ. مګر دا د هیڅ شی څخه غوره دی.

پدې حالت کې ، د سرور اړخ کې ، لاندې کرښې د شیف تشکیل کې لیکل شوي:

• metadata.rb
• attributes/default.rb (د attributes.rb)
• files/sshd
• recipes/default.rb (کاپي ترې recipe.rb)
• templates/default/users.oath.erb

د OTP هر غوښتنلیک د پیرودونکي اړخ کې نصب شوی: د ګوګل تصدیق کونکی ، اوتی ، ډویو ، لاسټ پاس ، نصب شوی brew install oath-toolkit او یا apt install oathtool openssl، بیا یو تصادفي بیس 16 تار (کیلي) رامینځته کیږي. دا د بیس 32 فارمیټ ته بدل شوی چې ګرځنده تصدیق کونکي یې کاروي او مستقیم غوښتنلیک ته واردیږي.

د پایلې په توګه، تاسو کولی شئ د Bastion سره وصل شئ او وګورئ چې دا اوس نه یوازې پاسفراس ته اړتیا لري، بلکې د تصدیق لپاره د OTP کوډ هم اړتیا لري:

➜ ssh -A bastion
Enter passphrase for key '[snip]': 
One-time password (OATH) for '[user]': 
Welcome to Ubuntu 18.04.1 LTS...

دوهم اختیار د هارډویر تصدیق دی

په دې حالت کې، کاروونکي اړ نه دي چې هر ځل د OTP کوډ داخل کړي، ځکه چې دویم فاکتور د هارډویر وسیله یا بایومیټریک کیږي.

دلته د شیف ترتیب یو څه ډیر پیچلی دی، او د پیرودونکي ترتیب په OS پورې اړه لري. مګر د ټولو مرحلو بشپړولو وروسته ، په MacOS کې پیرودونکي کولی شي د پاسفریج په کارولو سره په SSH کې تصدیق تایید کړي او په سینسر (دوهم فاکتور) کې ګوتې واچوي.

د iOS او Android مالکین د ننوتلو تصدیق کوي په خپل سمارټ فون کې د یوې تڼۍ په فشارولو سره. دا د Krypt.co څخه ځانګړې ټیکنالوژي ده، کوم چې حتی د OTP څخه ډیر خوندي دی.

په لینکس/ChromeOS کې د YubiKey USB ټوکنونو سره د کار کولو اختیار شتون لري. البته، یو برید کوونکی کولی شي ستاسو نښه غلا کړي، مګر هغه لاهم پاسفریج نه پوهیږي.

سرچینه: www.habr.com