"ආරක්ෂිත කවචය" SSH යනු ධාරක අතර ආරක්ෂිත සම්බන්ධතාවයක් ස්ථාපිත කිරීම සඳහා වන ජාල ප්‍රොටෝකෝලයකි, සම්මත වශයෙන් වරාය 22 හරහා (වෙනස් කිරීමට වඩා හොඳය). බොහෝ මෙහෙයුම් පද්ධති සඳහා SSH සේවාලාභීන් සහ SSH සේවාදායකයන් තිබේ. වෙනත් ඕනෑම ජාල ප්‍රොටෝකෝලයක් පාහේ SSH තුළ ක්‍රියා කරයි, එනම්, ඔබට වෙනත් පරිගණකයක දුරස්ථව වැඩ කළ හැකිය, සංකේතාත්මක නාලිකාවක් හරහා ශ්‍රව්‍ය හෝ දෘශ්‍ය ප්‍රවාහයක් සම්ප්‍රේෂණය කළ හැකිය. ඊට අමතරව, දුරස්ථ ධාරකයක SOCKS ප්‍රොක්සි හරහා මෙම දුරස්ථ ධාරකය වෙනුවෙන් ඔබට වෙනත් සත්කාරක වෙත සම්බන්ධ විය හැක.

මුරපදයක් භාවිතයෙන් සත්‍යාපනය සිදු වේ, නමුත් සංවර්ධකයින් සහ පද්ධති පරිපාලකයින් සම්ප්‍රදායිකව SSH යතුරු භාවිතා කරයි. ගැටලුව වන්නේ පුද්ගලික යතුර සොරකම් කළ හැකි වීමයි. රහස් වාක්‍ය ඛණ්ඩයක් එකතු කිරීම පුද්ගලික යතුර සොරකම් කිරීමෙන් න්‍යායාත්මකව ආරක්ෂා කරයි, නමුත් ප්‍රායෝගිකව, යතුරු යොමු කිරීමේදී සහ හැඹිලි කිරීමේදී, ඒවා තහවුරු කිරීමකින් තොරව තවමත් භාවිතා කළ හැක. ද්වි-සාධක සත්‍යාපනය මෙම ගැටළුව විසඳයි.

ද්වි-සාධක සත්‍යාපනය ක්‍රියාත්මක කරන්නේ කෙසේද

Honeycomb වෙතින් සංවර්ධකයින් මෑතකදී ප්‍රකාශයට පත් කරන ලදී සවිස්තරාත්මක උපදෙස්, සේවාදායකයා සහ සේවාදායකයා මත සුදුසු යටිතල පහසුකම් ක්රියාත්මක කරන්නේ කෙසේද.

උපදෙස් උපකල්පනය කරන්නේ ඔබ අන්තර්ජාලයට (බැස්ටියර්) විවෘතව ඇති යම් මූලික ධාරකයක් ඇති බවයි. ඔබට අන්තර්ජාලය හරහා ලැප්ටොප් හෝ පරිගණක වලින් මෙම සත්කාරකයට සම්බන්ධ වීමට අවශ්‍ය වන අතර, ඊට පිටුපසින් ඇති අනෙකුත් සියලුම උපාංග වෙත ප්‍රවේශ වීමට අවශ්‍ය වේ. 2FA මඟින් ප්‍රහාරකයෙකුට ඔබේ ලැප්ටොප් පරිගණකයට ප්‍රවේශය ලැබුණත් එය කළ නොහැකි බව සහතික කරයි, උදාහරණයක් ලෙස අනිෂ්ට මෘදුකාංග ස්ථාපනය කිරීමෙන්.

පළමු විකල්පය OTP වේ

OTP - එක් වරක් ඩිජිටල් මුරපද, මෙම අවස්ථාවේදී යතුර සමඟ SSH සත්‍යාපනය සඳහා භාවිතා කරනු ඇත. සංවර්ධකයින් ලියන්නේ මෙය කදිම විකල්පයක් නොවන බවයි, මන්ද ප්‍රහාරකයෙකුට ව්‍යාජ බලකොටුවක් ඇති කර, ඔබේ OTP බාධා කර එය භාවිතා කළ හැකි බැවිනි. නමුත් එය කිසිම දෙයකට වඩා හොඳයි.

මෙම අවස්ථාවේදී, සේවාදායකයේ පැත්තේ, පහත රේඛා චෙෆ් වින්‍යාසයට ලියා ඇත:

• metadata.rb
• attributes/default.rb (වල attributes.rb)
• files/sshd
• recipes/default.rb (පිටපත recipe.rb)
• templates/default/users.oath.erb

ඕනෑම OTP යෙදුමක් සේවාදායක පැත්තේ ස්ථාපනය කර ඇත: Google Authenticator, Authy, Duo, Lastpass, ස්ථාපනය කර ඇත brew install oath-toolkit හෝ apt install oathtool openssl, එවිට අහඹු පදනම16 තන්තුවක් (යතුර) ජනනය වේ. එය ජංගම සත්‍යාපන කරන්නන් භාවිතා කරන Base32 ආකෘතියට පරිවර්තනය කර සෘජුවම යෙදුමට ආනයනය කරයි.

එහි ප්‍රතිඵලයක් වශයෙන්, ඔබට Bastion වෙත සම්බන්ධ විය හැකි අතර එයට දැන් මුර-වැකිකඩ පමණක් නොව, සත්‍යාපනය සඳහා OTP කේතයක් අවශ්‍ය බව බලන්න:

➜ ssh -A bastion
Enter passphrase for key '[snip]': 
One-time password (OATH) for '[user]': 
Welcome to Ubuntu 18.04.1 LTS...

දෙවන විකල්පය දෘඪාංග සත්යාපනයයි

මෙම අවස්ථාවෙහිදී, දෙවන සාධකය දෘඪාංග උපාංගය හෝ ජෛවමිතික බවට පත්වන බැවින්, පරිශීලකයා සෑම විටම OTP කේතය ඇතුළත් කිරීමට අවශ්ය නොවේ.

මෙහිදී Chef වින්‍යාසය ටිකක් සංකීර්ණ වන අතර සේවාදායක වින්‍යාසය OS මත රඳා පවතී. නමුත් සියලුම පියවර සම්පූර්ණ කිරීමෙන් පසු, MacOS හි සේවාලාභීන්ට රහස් වාක්‍ය ඛණ්ඩයක් භාවිතා කර SSH හි සත්‍යාපනය තහවුරු කර සංවේදකය මත ඇඟිල්ලක් තැබීම (දෙවන සාධකය).

iOS සහ Android හිමිකරුවන් පිවිසුම තහවුරු කරයි ඔබගේ ස්මාර්ට් ජංගම දුරකතනයේ එක් බොත්තමක් එබීමෙන්. මෙය OTP වලටත් වඩා ආරක්ෂිත Krypt.co හි විශේෂ තාක්ෂණයකි.

Linux/ChromeOS මත YubiKey USB ටෝකන සමඟ වැඩ කිරීමට විකල්පයක් ඇත. ඇත්ත වශයෙන්ම, ප්‍රහාරකයෙකුට ඔබේ ටෝකනය සොරකම් කළ හැක, නමුත් ඔහු තවමත් මුර-වැකිකඩ නොදනී.

මූලාශ්රය: www.habr.com