كيفية تأمين SSH من خلال مصادقة Two-Factor من Google Authenticator
هل تريد تأمين خادم SSH الخاص بك مع المصادقة الثنائية سهلة الاستخدام؟ توفر Google البرامج اللازمة لدمج نظام كلمة مرور المرة الواحدة (TOTP) في Google Authenticator مع خادم SSH الخاص بك. سيكون عليك إدخال الرمز من هاتفك عند الاتصال.
لا يتيح Google Authenticator "الاتصال الهاتفي بالمنزل" إلى Google - حيث يتم تنفيذ جميع الأعمال على خادم SSH وهاتفك. في الواقع ، Google Authenticator مفتوح المصدر تمامًا ، لذا يمكنك حتى فحص شفرة المصدر بنفسك.
تثبيت Google Authenticator
لتنفيذ مصادقة متعددة العوامل باستخدام Google Authenticator ، سنحتاج إلى وحدة Google Authenticator PAM مفتوحة المصدر. PAM تعني "وحدة التوثيق القابلة للتوصيل" - إنها طريقة لتوصيل أشكال مختلفة من المصادقة بسهولة في نظام Linux.
تحتوي مستودعات برامج Ubuntu على حزمة سهلة التثبيت لوحدة Google Authenticator PAM. إذا لم يكن توزيع Linux الخاص بك يحتوي على حزمة لهذا ، فسيتعين عليك تنزيله من صفحة تنزيل Google Authenticator على Google Code وتجميعه بنفسك.
لتثبيت الحزمة على Ubuntu ، قم بتشغيل الأمر التالي:
sudo apt-get install libpam-google-authenticator
(سيؤدي ذلك فقط إلى تثبيت وحدة PAM على نظامنا - سنقوم بتنشيطها لتسجيل الدخول إلى SSH يدويًا.)
قم بإنشاء مفتاح مصادقة
سجل دخولك كمستخدم ستقوم بتسجيل الدخول عن بعد وتشغيله جوجل-المصدق الأمر لإنشاء مفتاح سر لهذا المستخدم.
اسمح للأمر بتحديث ملف Google Authenticator عن طريق كتابة y. سيُطلب منك بعد ذلك طرح العديد من الأسئلة التي ستسمح لك بتقييد استخدامات رمز الأمان المؤقت نفسه ، وزيادة الإطار الزمني الذي يمكن استخدام الرموز المميزة له ، والحد من محاولات القبول المسموح بها لإعاقة محاولات التصدع للقوة الغاشمة. هذه الخيارات كل التجارة بعض الأمن لبعض سهولة الاستخدام.
سيقدم لك Google Authenticator مفتاحًا سريًا وعدة "رموز خدش للطوارئ". اكتب رموز الخدوش في حالات الطوارئ في مكان آمن - ولا يمكن استخدامها إلا مرة واحدة لكل واحدة ، وهي مخصصة للاستخدام إذا فقدت هاتفك.
أدخل المفتاح السري في تطبيق Google Authenticator على هاتفك (تتوفر التطبيقات الرسمية لنظام التشغيل Android و iOS و Blackberry). يمكنك أيضًا استخدام ميزة مسح الرمز الشريطي الضوئي - انتقل إلى عنوان URL الموجود بالقرب من الجزء العلوي من إخراج الأمر ويمكنك مسح رمز الاستجابة السريعة باستخدام كاميرا الهاتف.
سيكون لديك الآن رمز تحقق يتغير باستمرار على هاتفك.
إذا كنت تريد تسجيل الدخول عن بعد كمستخدمين متعددين ، فقم بتشغيل هذا الأمر لكل مستخدم. سيكون لكل مستخدم مفتاحه السري الخاص ورموزه الخاصة.
تنشيط Google Authenticator
بعد ذلك ، سيتعين عليك مطالبة Google Authenticator بتسجيل الدخول إلى SSH. للقيام بذلك ، افتح /etc/pam.d/sshd ملف على النظام الخاص بك (على سبيل المثال ، مع sudo nano /etc/pam.d/sshd الأمر) وإضافة السطر التالي إلى الملف:
auth required pam_google_authenticator.so
المقبل ، وفتح / الخ / سه / sshd_config الملف ، حدد موقع ChallengeResponseAuthentication السطر ، وتغييره ليصبح كما يلي:
ChallengeResponseAuthentication yes
(إذا كان ChallengeResponseAuthentication خط غير موجود بالفعل ، أضف السطر أعلاه إلى الملف.)
أخيرًا ، أعد تشغيل خادم SSH بحيث تسري تغييراتك:
خدمة sudo إعادة تشغيل سه
ستتم مطالبتك بكلمة المرور ورمز Google Authenticator عندما تحاول تسجيل الدخول عبر SSH.