"ආරක්ෂිත කවචය" SSH යනු ධාරක අතර ආරක්ෂිත සම්බන්ධතාවයක් ස්ථාපිත කිරීම සඳහා වන ජාල ප්රොටෝකෝලයකි, සම්මත වශයෙන් වරාය 22 හරහා (වෙනස් කිරීමට වඩා හොඳය). බොහෝ මෙහෙයුම් පද්ධති සඳහා SSH සේවාලාභීන් සහ SSH සේවාදායකයන් තිබේ. වෙනත් ඕනෑම ජාල ප්රොටෝකෝලයක් පාහේ SSH තුළ ක්රියා කරයි, එනම්, ඔබට වෙනත් පරිගණකයක දුරස්ථව වැඩ කළ හැකිය, සංකේතාත්මක නාලිකාවක් හරහා ශ්රව්ය හෝ දෘශ්ය ප්රවාහයක් සම්ප්රේෂණය කළ හැකිය. ඊට අමතරව,
මුරපදයක් භාවිතයෙන් සත්යාපනය සිදු වේ, නමුත් සංවර්ධකයින් සහ පද්ධති පරිපාලකයින් සම්ප්රදායිකව SSH යතුරු භාවිතා කරයි. ගැටලුව වන්නේ පුද්ගලික යතුර සොරකම් කළ හැකි වීමයි. රහස් වාක්ය ඛණ්ඩයක් එකතු කිරීම පුද්ගලික යතුර සොරකම් කිරීමෙන් න්යායාත්මකව ආරක්ෂා කරයි, නමුත් ප්රායෝගිකව, යතුරු යොමු කිරීමේදී සහ හැඹිලි කිරීමේදී, ඒවා
ද්වි-සාධක සත්යාපනය ක්රියාත්මක කරන්නේ කෙසේද
Honeycomb වෙතින් සංවර්ධකයින් මෑතකදී ප්රකාශයට පත් කරන ලදී
උපදෙස් උපකල්පනය කරන්නේ ඔබ අන්තර්ජාලයට (බැස්ටියර්) විවෘතව ඇති යම් මූලික ධාරකයක් ඇති බවයි. ඔබට අන්තර්ජාලය හරහා ලැප්ටොප් හෝ පරිගණක වලින් මෙම සත්කාරකයට සම්බන්ධ වීමට අවශ්ය වන අතර, ඊට පිටුපසින් ඇති අනෙකුත් සියලුම උපාංග වෙත ප්රවේශ වීමට අවශ්ය වේ. 2FA මඟින් ප්රහාරකයෙකුට ඔබේ ලැප්ටොප් පරිගණකයට ප්රවේශය ලැබුණත් එය කළ නොහැකි බව සහතික කරයි, උදාහරණයක් ලෙස අනිෂ්ට මෘදුකාංග ස්ථාපනය කිරීමෙන්.
පළමු විකල්පය OTP වේ
OTP - එක් වරක් ඩිජිටල් මුරපද, මෙම අවස්ථාවේදී යතුර සමඟ SSH සත්යාපනය සඳහා භාවිතා කරනු ඇත. සංවර්ධකයින් ලියන්නේ මෙය කදිම විකල්පයක් නොවන බවයි, මන්ද ප්රහාරකයෙකුට ව්යාජ බලකොටුවක් ඇති කර, ඔබේ OTP බාධා කර එය භාවිතා කළ හැකි බැවිනි. නමුත් එය කිසිම දෙයකට වඩා හොඳයි.
මෙම අවස්ථාවේදී, සේවාදායකයේ පැත්තේ, පහත රේඛා චෙෆ් වින්යාසයට ලියා ඇත:
metadata.rb
attributes/default.rb
(වලattributes.rb
)files/sshd
recipes/default.rb
(පිටපතrecipe.rb
)templates/default/users.oath.erb
ඕනෑම OTP යෙදුමක් සේවාදායක පැත්තේ ස්ථාපනය කර ඇත: Google Authenticator, Authy, Duo, Lastpass, ස්ථාපනය කර ඇත brew install oath-toolkit
හෝ apt install oathtool openssl
, එවිට අහඹු පදනම16 තන්තුවක් (යතුර) ජනනය වේ. එය ජංගම සත්යාපන කරන්නන් භාවිතා කරන Base32 ආකෘතියට පරිවර්තනය කර සෘජුවම යෙදුමට ආනයනය කරයි.
එහි ප්රතිඵලයක් වශයෙන්, ඔබට Bastion වෙත සම්බන්ධ විය හැකි අතර එයට දැන් මුර-වැකිකඩ පමණක් නොව, සත්යාපනය සඳහා OTP කේතයක් අවශ්ය බව බලන්න:
➜ ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...
දෙවන විකල්පය දෘඪාංග සත්යාපනයයි
මෙම අවස්ථාවෙහිදී, දෙවන සාධකය දෘඪාංග උපාංගය හෝ ජෛවමිතික බවට පත්වන බැවින්, පරිශීලකයා සෑම විටම OTP කේතය ඇතුළත් කිරීමට අවශ්ය නොවේ.
මෙහිදී Chef වින්යාසය ටිකක් සංකීර්ණ වන අතර සේවාදායක වින්යාසය OS මත රඳා පවතී. නමුත් සියලුම පියවර සම්පූර්ණ කිරීමෙන් පසු, MacOS හි සේවාලාභීන්ට රහස් වාක්ය ඛණ්ඩයක් භාවිතා කර SSH හි සත්යාපනය තහවුරු කර සංවේදකය මත ඇඟිල්ලක් තැබීම (දෙවන සාධකය).
iOS සහ Android හිමිකරුවන් පිවිසුම තහවුරු කරයි
Linux/ChromeOS මත YubiKey USB ටෝකන සමඟ වැඩ කිරීමට විකල්පයක් ඇත. ඇත්ත වශයෙන්ම, ප්රහාරකයෙකුට ඔබේ ටෝකනය සොරකම් කළ හැක, නමුත් ඔහු තවමත් මුර-වැකිකඩ නොදනී.
මූලාශ්රය: www.habr.com