"பாதுகாப்பான ஷெல்" SSH என்பது ஹோஸ்ட்களுக்கு இடையே பாதுகாப்பான இணைப்பை நிறுவுவதற்கான பிணைய நெறிமுறையாகும், இது போர்ட் 22 வழியாக நிலையானது (இதை மாற்றுவது நல்லது). பெரும்பாலான இயக்க முறைமைகளுக்கு SSH கிளையண்டுகள் மற்றும் SSH சேவையகங்கள் உள்ளன. வேறு எந்த நெட்வொர்க் நெறிமுறையும் SSH க்குள் வேலை செய்கிறது, அதாவது, நீங்கள் மற்றொரு கணினியில் தொலைவிலிருந்து வேலை செய்யலாம், மறைகுறியாக்கப்பட்ட சேனலில் ஆடியோ அல்லது வீடியோ ஸ்ட்ரீமை அனுப்பலாம். தவிர, இந்த ரிமோட் ஹோஸ்ட் சார்பாக நீங்கள் மற்ற ஹோஸ்ட்களுடன் இணைக்க முடியும்.
கடவுச்சொல்லைப் பயன்படுத்தி அங்கீகாரம் நிகழ்கிறது, ஆனால் டெவலப்பர்கள் மற்றும் கணினி நிர்வாகிகள் பாரம்பரியமாக SSH விசைகளைப் பயன்படுத்துகின்றனர். பிரச்சனை என்னவென்றால், தனிப்பட்ட விசையை திருடலாம். கடவுச்சொற்றொடரைச் சேர்ப்பது கோட்பாட்டளவில் தனிப்பட்ட விசையின் திருட்டுக்கு எதிராகப் பாதுகாக்கிறது, ஆனால் நடைமுறையில், விசைகளை முன்னனுப்பும்போது மற்றும் தேக்ககப்படுத்தும் போது, அவை . இரண்டு காரணி அங்கீகாரம் இந்த சிக்கலை தீர்க்கிறது.
இரண்டு காரணி அங்கீகாரத்தை எவ்வாறு செயல்படுத்துவது
தேன்கூடு டெவலப்பர்கள் சமீபத்தில் வெளியிட்டனர் , கிளையன்ட் மற்றும் சர்வரில் பொருத்தமான உள்கட்டமைப்பை எவ்வாறு செயல்படுத்துவது.
நீங்கள் ஒரு குறிப்பிட்ட அடிப்படை புரவலன் இணையத்தில் திறந்திருப்பதாக அறிவுறுத்தல்கள் கருதுகின்றன (அடிப்படை). இணையம் வழியாக மடிக்கணினிகள் அல்லது கணினிகளில் இருந்து இந்த ஹோஸ்டுடன் இணைக்க வேண்டும், மேலும் அதன் பின்னால் அமைந்துள்ள மற்ற எல்லா சாதனங்களையும் அணுக வேண்டும். தீம்பொருளை நிறுவுவதன் மூலம் உங்கள் மடிக்கணினிக்கான அணுகலைப் பெற்றாலும், தாக்குபவர் அதைச் செய்ய முடியாது என்பதை 2FA உறுதி செய்கிறது.
முதல் விருப்பம் OTP ஆகும்
OTP - ஒரு முறை டிஜிட்டல் கடவுச்சொற்கள், இந்த விஷயத்தில் விசையுடன் SSH அங்கீகாரத்திற்காகப் பயன்படுத்தப்படும். டெவலப்பர்கள் இது ஒரு சிறந்த விருப்பம் அல்ல என்று எழுதுகிறார்கள், ஏனெனில் தாக்குபவர் ஒரு போலி கோட்டையை உருவாக்கலாம், உங்கள் OTP ஐ இடைமறித்து அதைப் பயன்படுத்தலாம். ஆனால் அது எதையும் விட சிறந்தது.
இந்த வழக்கில், சர்வர் பக்கத்தில், பின்வரும் வரிகள் செஃப் கட்டமைப்பில் எழுதப்பட்டுள்ளன:
metadata.rbattributes/default.rb(ofattributes.rb)files/sshdrecipes/default.rb(இதிலிருந்து நகல்recipe.rb)templates/default/users.oath.erb
எந்த OTP பயன்பாடும் கிளையன்ட் பக்கத்தில் நிறுவப்பட்டுள்ளது: Google அங்கீகரிப்பு, Authy, Duo, Lastpass, நிறுவப்பட்டது brew install oath-toolkit அல்லது apt install oathtool openssl, பின்னர் ஒரு சீரற்ற அடிப்படை16 சரம் (விசை) உருவாக்கப்படுகிறது. மொபைல் அங்கீகரிப்பாளர்கள் பயன்படுத்தும் Base32 வடிவத்திற்கு மாற்றப்பட்டு நேரடியாக பயன்பாட்டில் இறக்குமதி செய்யப்படுகிறது.
இதன் விளைவாக, நீங்கள் பாஸ்டனுடன் இணைக்கலாம் மற்றும் அதற்கு இப்போது கடவுச்சொற்றொடர் மட்டுமல்ல, அங்கீகாரத்திற்கான OTP குறியீடும் தேவை என்பதை பார்க்கலாம்:
➜ ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...இரண்டாவது விருப்பம் வன்பொருள் அங்கீகாரம்
இந்த வழக்கில், பயனர் ஒவ்வொரு முறையும் OTP குறியீட்டை உள்ளிட வேண்டிய அவசியமில்லை, ஏனெனில் இரண்டாவது காரணி வன்பொருள் சாதனம் அல்லது பயோமெட்ரிக்ஸ் ஆகும்.
இங்கே செஃப் உள்ளமைவு இன்னும் கொஞ்சம் சிக்கலானது, மேலும் கிளையன்ட் உள்ளமைவு OS ஐப் பொறுத்தது. ஆனால் அனைத்து படிகளையும் முடித்த பிறகு, MacOS இல் உள்ள வாடிக்கையாளர்கள் கடவுச்சொற்றொடரைப் பயன்படுத்தி SSH இல் அங்கீகாரத்தை உறுதிப்படுத்தலாம் மற்றும் சென்சாரில் விரலை வைக்கலாம் (இரண்டாவது காரணி).
iOS மற்றும் Android உரிமையாளர்கள் உள்நுழைவை உறுதிப்படுத்துகின்றனர் . இது Krypt.co இன் சிறப்பு தொழில்நுட்பமாகும், இது OTP ஐ விட மிகவும் பாதுகாப்பானது.
Linux/ChromeOS இல் YubiKey USB டோக்கன்களுடன் வேலை செய்வதற்கான விருப்பம் உள்ளது. நிச்சயமாக, தாக்குபவர் உங்கள் டோக்கனைத் திருடலாம், ஆனால் அவருக்கு இன்னும் கடவுச்சொற்றொடர் தெரியாது.
ஆதாரம்: www.habr.com