"Qofka sugan" SSH waa hab-maamuus shabakadeed oo loogu talagalay samaynta xiriir sugan oo dhexmara martigeliyayaasha, oo ka sarreeya dekedda 22 (taas oo ka wanaagsan in la beddelo). Macaamiisha SSH iyo adeegayaasha SSH ayaa diyaar u ah nidaamyada hawlgalka intooda badan. Ku dhawaad nidaamka shabakad kasta oo kale ayaa ka shaqeeya gudaha SSH, taas oo ah, waxaad meel fog ka shaqayn kartaa kombuyuutar kale, waxaad u gudbin kartaa maqal ama fiidyow qulqulka kanaalka qarsoon, iwm. Ka sokow, waxaad ku xidhi kartaa martigaliyayaasha kale adoo ka wakiil ah martigeliyaha fog
Xaqiijinta waxay ku dhacdaa iyadoo la isticmaalayo erayga sirta ah, laakiin horumariyeyaasha iyo maamulayaasha nidaamka waxay dhaqan ahaan isticmaalaan furayaasha SSH. Dhibaatadu waxay tahay in furaha gaarka ah la xadi karo. Ku darista jumlada sirta ah waxay aragti ahaan ka ilaalinaysaa xatooyada furaha gaarka ah, laakiin ficil ahaan, marka la gudbinayo oo la kaydinayo furayaasha, waxay . Xaqiijinta laba-factor ayaa xallisa dhibaatadan.
Sida loo hirgeliyo xaqiijinta laba-factor
Soosaarayaal ka socda Honeycomb dhawaan la daabacay , sida loo hirgeliyo kaabayaasha ku habboon macmiilka iyo serverka.
Tilmaamuhu waxay u malaynayaan inaad haysato martigeliyaha aasaasiga ah oo u furan internetka (bastion). Waxa aad doonaysaa in aad ku xidhidhiyahan Laptop-yada ama kombuyuutarada adigoo isticmaalaya Internetka, oo aad ka gasho dhamaan qalabka kale ee ku yaala gadaashiisa. 2FA waxay hubisaa in qofka wax weeraraya aanu samayn karin si la mid ah xitaa haddii ay galaan laptop-kaaga, tusaale ahaan iyagoo ku rakibaya malware.
Doorashada koowaad waa OTP
OTP - furaha sirta ah ee hal mar ah, kaas oo kiiskan loo isticmaali doono xaqiijinta SSH oo ay la socoto furaha. Horumariyayaashu waxay qoraan in tani aysan ahayn ikhtiyaar ku habboon, sababtoo ah weeraryahanku wuxuu kicin karaa basshin been abuur ah, dhexda OTP-gaaga oo isticmaalo. Laakiin way ka fiican tahay waxba.
Xaaladdan oo kale, dhinaca server-ka, khadadka soo socda ayaa lagu qorayaa Chef config:
metadata.rbattributes/default.rb(eeattributes.rb)files/sshdrecipes/default.rb(ka koobirecipe.rb)templates/default/users.oath.erb
Codsi kasta oo OTP ah ayaa lagu rakibay dhinaca macmiilka: Google Authenticator, Authy, Duo, Lastpass, rakibay brew install oath-toolkit ama apt install oathtool openssl, dabadeed xadhig basle16 (furaha) random ayaa la sameeyay. Waxa loo rogaa qaabka Base32 ee tafatirayaasha mobiladu isticmaalaan oo si toos ah arjiga loo soo geliyo.
Natiijo ahaan, waxaad ku xidhi kartaa Bastion oo waxaad arki kartaa inay hadda u baahan tahay ereyga sirta ah oo keliya, laakiin sidoo kale koodka OTP ee xaqiijinta:
➜ ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...Doorashada labaad waa aqoonsiga hardware
Xaaladdan oo kale, isticmaaluhu loogama baahna inuu galo koodka OTP mar kasta, maaddaama qodobka labaad uu noqdo qalabka qalabka ama biometrics.
Halkan qaabka Chef-ku waa wax yar oo dhib badan, iyo qaabeynta macmiilku waxay ku xiran tahay OS. Laakiin ka dib marka la dhammeeyo dhammaan tillaabooyinka, macaamiisha MacOS waxay xaqiijin karaan xaqiijinta SSH iyaga oo isticmaalaya erayga sirta ah oo ay farta saaraan dareeraha (qeybta labaad).
IOS iyo Android milkiilayaasha ayaa xaqiijinaya soo galitaanka . Tani waa tignoolajiyada gaarka ah ee Krypt.co, taas oo xitaa ka amaan badan OTP.
On Linux/ChromeOS waxaa jira ikhtiyaarka ah in lagu shaqeeyo YubiKey USB tokens. Dabcan, weeraryahanku waxa uu xaddi karaa calaamadaada, laakiin weli ma yaqaan erayga sirta ah.
Source: www.habr.com