"Шелли бехатар" SSH як протоколи шабакавӣ барои барқарор кардани пайвасти бехатар байни ҳостҳо мебошад, ки маъмулан аз порти 22 (тағйир додани он беҳтар аст). Мизоҷони SSH ва серверҳои SSH барои аксари системаҳои оператсионӣ дастрасанд. Қариб ҳама протоколҳои шабакавӣ дар дохили SSH кор мекунанд, яъне шумо метавонед дар компютери дигар фосилавӣ кор кунед, ҷараёни аудио ё видеоро тавассути канали рамзгузорӣ интиқол диҳед ва ғайра. Гайр аз ин,
Аутентификатсия бо истифода аз парол сурат мегирад, аммо таҳиягарон ва маъмурони система одатан калидҳои SSH-ро истифода мебаранд. Мушкилот дар он аст, ки калиди хусусӣ метавонад дуздида шавад. Илова кардани ибораи гузариш назариявӣ аз дуздии калиди хусусӣ муҳофизат мекунад, аммо дар амал ҳангоми интиқол ва кэшкунии калидҳо онҳо
Чӣ тавр амалӣ кардани аутентификатсияи ду-омил
Таҳиягарон аз Honeycomb ба наздикӣ нашр шуданд
Дастурҳо тахмин мезананд, ки шумо як мизбони муайяни асосиро ба Интернет (бастион) кушода доред. Шумо мехоҳед, ки ба ин ҳост аз ноутбукҳо ё компютерҳо тавассути Интернет пайваст шавед ва ба ҳама дастгоҳҳои дигаре, ки дар паси он ҷойгиранд, дастрасӣ пайдо кунед. 2FA кафолат медиҳад, ки ҳамлагар ҳатто агар онҳо ба ноутбуки шумо дастрасӣ пайдо кунанд, масалан, тавассути насб кардани нармафзори зараровар, ин корро карда наметавонад.
Варианти аввал OTP аст
OTP - паролҳои рақамии якдафъаина, ки дар ин ҳолат дар баробари калид барои аутентификатсияи SSH истифода мешаванд. Таҳиягарон менависанд, ки ин як варианти идеалӣ нест, зеро ҳамлагар метавонад як қалъаи қалбакиро баланд кунад, OTP-и шуморо боздорад ва онро истифода барад. Аммо аз ҳеҷ чиз беҳтар аст.
Дар ин ҳолат, дар тарафи сервер, сатрҳои зерин ба конфигуратсияи Chef навишта мешаванд:
metadata.rb
attributes/default.rb
(азattributes.rb
)files/sshd
recipes/default.rb
(нусха азrecipe.rb
)templates/default/users.oath.erb
Ҳама гуна барномаи OTP дар тарафи муштарӣ насб карда шудааст: Google Authenticator, Authy, Duo, Lastpass, насб карда шудааст brew install oath-toolkit
ё apt install oathtool openssl
, пас сатри тасодуфии base16 (калид) тавлид мешавад. Он ба формати Base32 табдил дода мешавад, ки аутентификаторҳои мобилӣ мустақиман ба барнома истифода мебаранд ва ворид мекунанд.
Дар натиҷа, шумо метавонед ба Bastion пайваст шавед ва бубинед, ки он ҳоло на танҳо гузарвожа, балки рамзи OTP барои аутентификатсияро талаб мекунад:
➜ ssh -A bastion
Enter passphrase for key '[snip]':
One-time password (OATH) for '[user]':
Welcome to Ubuntu 18.04.1 LTS...
Варианти дуюм аутентификатсияи сахтафзор аст
Дар ин ҳолат, аз корбар талаб карда намешавад, ки ҳар дафъа рамзи OTP-ро ворид кунад, зеро омили дуюм дастгоҳи сахтафзор ё биометрия мегардад.
Дар ин ҷо конфигуратсияи Chef каме мураккабтар аст ва конфигуратсияи муштарӣ аз ОС вобаста аст. Аммо пас аз анҷоми ҳама қадамҳо, муштариён дар MacOS метавонанд аутентификатсияро дар SSH бо истифода аз ибораи гузариш ва гузоштани ангушт ба сенсор (омили дуюм) тасдиқ кунанд.
Соҳибони iOS ва Android вурудро тасдиқ мекунанд
Дар Linux/ChromeOS имкони кор бо аломатҳои USB YubiKey мавҷуд аст. Албатта, ҳамлагар метавонад аломати шуморо дуздад, аммо ӯ то ҳол гузарвожаро намедонад.
Манбаъ: will.com