“సెక్యూర్ షెల్” SSH అనేది హోస్ట్ల మధ్య సురక్షిత కనెక్షన్ని ఏర్పాటు చేయడానికి నెట్వర్క్ ప్రోటోకాల్, ప్రామాణికంగా పోర్ట్ 22 (దీనిని మార్చడం మంచిది). చాలా ఆపరేటింగ్ సిస్టమ్లకు SSH క్లయింట్లు మరియు SSH సర్వర్లు అందుబాటులో ఉన్నాయి. దాదాపు ఏదైనా ఇతర నెట్వర్క్ ప్రోటోకాల్ SSH లోపల పని చేస్తుంది, అంటే, మీరు మరొక కంప్యూటర్లో రిమోట్గా పని చేయవచ్చు, గుప్తీకరించిన ఛానెల్ ద్వారా ఆడియో లేదా వీడియో స్ట్రీమ్ను ప్రసారం చేయవచ్చు, మొదలైనవి. అంతేకాకుండా,
పాస్వర్డ్ని ఉపయోగించి ప్రామాణీకరణ జరుగుతుంది, అయితే డెవలపర్లు మరియు సిస్టమ్ అడ్మినిస్ట్రేటర్లు సాంప్రదాయకంగా SSH కీలను ఉపయోగిస్తారు. సమస్య ఏమిటంటే ప్రైవేట్ కీ దొంగిలించబడవచ్చు. రహస్య పదబంధాన్ని జోడించడం అనేది ప్రైవేట్ కీ దొంగతనం నుండి సిద్ధాంతపరంగా రక్షిస్తుంది, కానీ ఆచరణలో, కీలను ఫార్వార్డ్ చేసేటప్పుడు మరియు కాషింగ్ చేసేటప్పుడు, అవి
రెండు-కారకాల ప్రమాణీకరణను ఎలా అమలు చేయాలి
తేనెగూడు నుండి డెవలపర్లు ఇటీవల ప్రచురించారు
మీరు ఇంటర్నెట్కు (బురుజు) ఒక నిర్దిష్ట ప్రాథమిక హోస్ట్ని తెరిచినట్లు సూచనలు ఊహిస్తాయి. మీరు ఇంటర్నెట్ ద్వారా ల్యాప్టాప్లు లేదా కంప్యూటర్ల నుండి ఈ హోస్ట్కి కనెక్ట్ చేయాలనుకుంటున్నారు మరియు దాని వెనుక ఉన్న అన్ని ఇతర పరికరాలను యాక్సెస్ చేయాలనుకుంటున్నారు. దాడి చేసేవారు మీ ల్యాప్టాప్కి యాక్సెస్ని పొందినప్పటికీ, ఉదాహరణకు మాల్వేర్ని ఇన్స్టాల్ చేయడం ద్వారా కూడా అదే పని చేయలేరని 2FA నిర్ధారిస్తుంది.
మొదటి ఎంపిక OTP
OTP - వన్-టైమ్ డిజిటల్ పాస్వర్డ్లు, ఈ సందర్భంలో కీతో పాటు SSH ప్రమాణీకరణ కోసం ఉపయోగించబడుతుంది. డెవలపర్లు ఇది సరైన ఎంపిక కాదని వ్రాశారు, ఎందుకంటే దాడి చేసే వ్యక్తి నకిలీ బురుజును పెంచుకోవచ్చు, మీ OTPని అడ్డగించి దానిని ఉపయోగించవచ్చు. కానీ అది ఏమీ కంటే ఉత్తమం.
ఈ సందర్భంలో, సర్వర్ వైపు, కింది పంక్తులు చెఫ్ కాన్ఫిగరేషన్లో వ్రాయబడతాయి:
metadata.rb
attributes/default.rb
(యొక్కattributes.rb
)files/sshd
recipes/default.rb
(కాపీ నుండిrecipe.rb
)templates/default/users.oath.erb
ఏదైనా OTP అప్లికేషన్ క్లయింట్ వైపు ఇన్స్టాల్ చేయబడింది: Google Authenticator, Authy, Duo, Lastpass, ఇన్స్టాల్ చేయబడింది brew install oath-toolkit
లేదా apt install oathtool openssl
, అప్పుడు యాదృచ్ఛిక బేస్16 స్ట్రింగ్ (కీ) ఉత్పత్తి చేయబడుతుంది. ఇది మొబైల్ ప్రామాణీకరణదారులు ఉపయోగించే Base32 ఆకృతికి మార్చబడుతుంది మరియు నేరుగా అప్లికేషన్లోకి దిగుమతి చేయబడుతుంది.
ఫలితంగా, మీరు బాస్షన్కి కనెక్ట్ అవ్వవచ్చు మరియు దానికి ఇప్పుడు పాస్ఫ్రేజ్ మాత్రమే కాకుండా, ప్రామాణీకరణ కోసం OTP కోడ్ కూడా అవసరమని చూడవచ్చు:
➜ ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...
రెండవ ఎంపిక హార్డ్వేర్ ప్రమాణీకరణ
ఈ సందర్భంలో, వినియోగదారు ప్రతిసారీ OTP కోడ్ను నమోదు చేయవలసిన అవసరం లేదు, ఎందుకంటే రెండవ అంశం హార్డ్వేర్ పరికరం లేదా బయోమెట్రిక్గా మారుతుంది.
ఇక్కడ చెఫ్ కాన్ఫిగరేషన్ కొంచెం క్లిష్టంగా ఉంటుంది మరియు క్లయింట్ కాన్ఫిగరేషన్ OS పై ఆధారపడి ఉంటుంది. కానీ అన్ని దశలను పూర్తి చేసిన తర్వాత, MacOSలోని క్లయింట్లు పాస్ఫ్రేజ్ని ఉపయోగించి SSHలో ప్రామాణీకరణను నిర్ధారించవచ్చు మరియు సెన్సార్పై వేలును ఉంచవచ్చు (రెండవ అంశం).
iOS మరియు Android యజమానులు లాగిన్ని నిర్ధారిస్తారు
Linux/ChromeOSలో YubiKey USB టోకెన్లతో పని చేయడానికి ఒక ఎంపిక ఉంది. అయితే, దాడి చేసే వ్యక్తి మీ టోకెన్ను దొంగిలించవచ్చు, కానీ అతనికి ఇప్పటికీ పాస్ఫ్రేజ్ తెలియదు.
మూలం: www.habr.com