"محفوظ شيل" SSH ميزبان جي وچ ۾ محفوظ ڪنيڪشن قائم ڪرڻ لاء هڪ نيٽ ورڪ پروٽوڪول آهي، معياري طور تي پورٽ 22 تي (جنهن کي تبديل ڪرڻ بهتر آهي). SSH ڪلائنٽ ۽ SSH سرور اڪثر آپريٽنگ سسٽم لاءِ موجود آهن. تقريبن ڪو ٻيو نيٽ ورڪ پروٽوڪول SSH اندر ڪم ڪري ٿو، اهو آهي، توهان ڪنهن ٻئي ڪمپيوٽر تي ريموٽ ڪم ڪري سگهو ٿا، هڪ آڊيو يا وڊيو اسٽريم کي هڪ اينڪريٽ ٿيل چينل تي منتقل ڪري سگهو ٿا، وغيره. ان کان علاوه، توهان هن ريموٽ ميزبان جي طرفان ٻين ميزبانن سان ڳنڍي سگهو ٿا.
تصديق ٿئي ٿي پاسورڊ استعمال ڪندي، پر ڊولپرز ۽ سسٽم ايڊمنسٽريٽر روايتي طور تي SSH ڪيز استعمال ڪندا آهن. مسئلو اهو آهي ته نجي چاٻي چوري ٿي سگهي ٿي. هڪ پاسفريس شامل ڪرڻ نظرياتي طور تي خانگي چاٻي جي چوري کان بچائيندو آهي، پر عملي طور تي، جڏهن اڳتي وڌڻ ۽ ڪيچنگ ڪنجي، اهي . ٻه عنصر جي تصديق هن مسئلي کي حل ڪري ٿو.
ٻن عنصر جي تصديق کي ڪيئن لاڳو ڪجي
Honeycomb کان ڊولپر تازو شايع ڪيو ، ڪلائنٽ ۽ سرور تي مناسب انفراسٽرڪچر کي ڪيئن لاڳو ڪجي.
ھدايتون فرض ڪن ٿيون ته توھان وٽ ھڪڙو بنيادي ھوسٽ آھي جيڪو انٽرنيٽ ڏانھن کليل آھي. توھان چاھيو ٿا ھن ھوسٽ سان ڳنڍڻ لاءِ ليپ ٽاپ يا ڪمپيوٽرن کان انٽرنيٽ ذريعي، ۽ رسائي حاصل ڪريو ٻين سڀني ڊوائيسز جيڪي ان جي پويان واقع آھن. 2FA انهي ڳالهه کي يقيني بڻائي ٿو ته هڪ حملو ڪندڙ اهو ئي نٿو ڪري سگهي جيتوڻيڪ اهي توهان جي ليپ ٽاپ تائين رسائي حاصل ڪن، مثال طور ميلويئر نصب ڪندي.
پهريون اختيار OTP آهي
OTP - هڪ دفعي ڊجيٽل پاسورڊ، جيڪي هن صورت ۾ استعمال ڪيا ويندا SSH جي تصديق لاءِ ڪن سان گڏ. ڊولپر لکي ٿو ته هي هڪ مثالي آپشن ناهي، ڇاڪاڻ ته هڪ حملو ڪندڙ هڪ جعلي قلعو بلند ڪري سگهي ٿو، توهان جي OTP کي روڪيو ۽ ان کي استعمال ڪريو. پر اھو ڪجھھ کان بھتر آھي.
انهي حالت ۾، سرور جي پاسي تي، هيٺيون لائينون شيف جي ترتيب ۾ لکيل آهن:
metadata.rbattributes/default.rb(attributes.rb)files/sshdrecipes/default.rb(کان نقلrecipe.rb)templates/default/users.oath.erb
ڪو به OTP ايپليڪيشن ڪلائنٽ جي پاسي تي نصب ٿيل آهي: گوگل تصديق ڪندڙ، Authy، Duo، Lastpass، انسٽال ٿيل brew install oath-toolkit يا apt install oathtool openssl، پوء هڪ بي ترتيب بيس 16 اسٽرنگ (ڪي) ٺاهي وئي آهي. اهو Base32 فارميٽ ۾ تبديل ڪيو ويو آهي جيڪو موبائل تصديق ڪندڙ استعمال ڪن ٿا ۽ سڌو سنئون ايپليڪيشن ۾ درآمد ڪن ٿا.
نتيجي طور، توهان Bastion سان ڳنڍي سگهو ٿا ۽ ڏسو ته اهو هاڻي نه رڳو هڪ پاسفريج جي ضرورت آهي، پر تصديق لاء هڪ OTP ڪوڊ پڻ:
➜ ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...ٻيو اختيار هارڊويئر جي تصديق آهي
انهي صورت ۾، صارف کي هر دفعي OTP ڪوڊ داخل ڪرڻ جي ضرورت ناهي، ڇو ته ٻيو عنصر هارڊويئر ڊوائيس يا بايو ميٽرڪس بڻجي ويندو آهي.
هتي شيف جي تشڪيل ٿورو وڌيڪ پيچيده آهي، ۽ ڪلائنٽ جي ترتيب OS تي منحصر آهي. پر سڀني مرحلن کي مڪمل ڪرڻ کان پوء، MacOS تي ڪلائنٽ تصديق ڪري سگھن ٿا SSH ۾ پاسفريس استعمال ڪندي ۽ سينسر تي آڱر رکڻ (سيڪنڊ فيڪٽر).
iOS ۽ Android مالڪ لاگ ان جي تصديق ڪن ٿا . هي Krypt.co کان هڪ خاص ٽيڪنالاجي آهي، جيڪا OTP کان به وڌيڪ محفوظ آهي.
Linux/ChromeOS تي، YubiKey USB ٽوڪن سان ڪم ڪرڻ جو اختيار آهي. يقينن، هڪ حملو ڪندڙ توهان جي ٽوڪن کي چوري ڪري سگهي ٿو، پر هو اڃا تائين پاسفريج کي نٿو ڄاڻي.
جو ذريعو: www.habr.com