"خوندي شیل" SSH د کوربه تر مینځ د خوندي پیوستون رامینځته کولو لپاره د شبکې پروتوکول دی ، په معیاري ډول د 22 پورټ (کوم چې بدلول غوره دي). د SSH پیرودونکي او SSH سرورونه د ډیری عملیاتي سیسټمونو لپاره شتون لري. نږدې کوم بل د شبکې پروتوکول د SSH دننه کار کوي ، دا دی ، تاسو کولی شئ په بل کمپیوټر کې له لرې کار څخه کار واخلئ ، په کوډ شوي چینل کې آډیو یا ویډیو جریان لیږدئ ، او داسې نور. سربیره پردې،
تصدیق د پاسورډ په کارولو سره پیښیږي ، مګر پراختیا کونکي او د سیسټم مدیران په دودیز ډول د SSH کیلي کاروي. ستونزه دا ده چې شخصي کیلي غلا کیدی شي. د پاسفراس اضافه کول په تیوريکي توګه د شخصي کیلي غلا څخه ساتنه کوي، مګر په عمل کې، کله چې کیلي فارورډ او کیچ کول، دوی
د دوه فاکتور تصدیق پلي کولو څرنګوالی
د Honeycomb څخه پراختیا کونکي پدې وروستیو کې خپاره شوي
لارښوونې داسې انګیرل کیږي چې تاسو یو ځانګړی بنسټیز کوربه لرئ چې انټرنیټ (بست) ته خلاص دی. تاسو غواړئ د انټرنیټ له لارې د لپټاپ یا کمپیوټر څخه دې کوربه سره وصل شئ، او نورو ټولو وسیلو ته لاسرسی ومومئ چې د هغې شاته موقعیت لري. 2FA ډاډ ورکوي چې برید کونکی نشي کولی ورته کار وکړي حتی که دوی ستاسو لپ ټاپ ته لاسرسی ومومي ، د مثال په توګه د مالویر نصبولو سره.
لومړی اختیار OTP دی
OTP - یو ځل ډیجیټل پاسورډونه، کوم چې پدې حالت کې به د کیلي سره د SSH تصدیق کولو لپاره وکارول شي. پراختیا کونکي لیکي چې دا یو مثالی اختیار ندی ، ځکه چې برید کونکی کولی شي جعلي مرکز رامینځته کړي ، ستاسو OTP مداخله وکړي او وکاروئ. مګر دا د هیڅ شی څخه غوره دی.
پدې حالت کې ، د سرور اړخ کې ، لاندې کرښې د شیف تشکیل کې لیکل شوي:
metadata.rb
attributes/default.rb
(دattributes.rb
)files/sshd
recipes/default.rb
(کاپي ترېrecipe.rb
)templates/default/users.oath.erb
د OTP هر غوښتنلیک د پیرودونکي اړخ کې نصب شوی: د ګوګل تصدیق کونکی ، اوتی ، ډویو ، لاسټ پاس ، نصب شوی brew install oath-toolkit
او یا apt install oathtool openssl
، بیا یو تصادفي بیس 16 تار (کیلي) رامینځته کیږي. دا د بیس 32 فارمیټ ته بدل شوی چې ګرځنده تصدیق کونکي یې کاروي او مستقیم غوښتنلیک ته واردیږي.
د پایلې په توګه، تاسو کولی شئ د Bastion سره وصل شئ او وګورئ چې دا اوس نه یوازې پاسفراس ته اړتیا لري، بلکې د تصدیق لپاره د OTP کوډ هم اړتیا لري:
➜ ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...
دوهم اختیار د هارډویر تصدیق دی
په دې حالت کې، کاروونکي اړ نه دي چې هر ځل د OTP کوډ داخل کړي، ځکه چې دویم فاکتور د هارډویر وسیله یا بایومیټریک کیږي.
دلته د شیف ترتیب یو څه ډیر پیچلی دی، او د پیرودونکي ترتیب په OS پورې اړه لري. مګر د ټولو مرحلو بشپړولو وروسته ، په MacOS کې پیرودونکي کولی شي د پاسفریج په کارولو سره په SSH کې تصدیق تایید کړي او په سینسر (دوهم فاکتور) کې ګوتې واچوي.
د iOS او Android مالکین د ننوتلو تصدیق کوي
په لینکس/ChromeOS کې د YubiKey USB ټوکنونو سره د کار کولو اختیار شتون لري. البته، یو برید کوونکی کولی شي ستاسو نښه غلا کړي، مګر هغه لاهم پاسفریج نه پوهیږي.
سرچینه: www.habr.com