كيفية إعداد المصادقة الثنائية (Google Authenticator) لتسجيلات SSH

instagram story viewer

بشكل افتراضي، SSH يستخدم بالفعل اتصال بيانات آمن بين الأجهزة البعيدة ، ولكن إذا كنت ترغب في إضافة طبقة أمان إضافية إلى اتصالات SSH ، فيمكنك إضافة Google Authenticator (توثيق ذو عاملين) الوحدة النمطية التي تسمح لك بإدخال كلمة مرور عشوائية لمرة واحدة (TOTP) رمز التحقق أثناء الاتصال بـ SSH الخوادم. سيتعين عليك إدخال رمز التحقق من هاتف ذكي أو كمبيوتر عند الاتصال.

ال Google Authenticator هي وحدة مفتوحة المصدر تتضمن تطبيقات لرموز المرور لمرة واحدة (TOTP) رمز التحقق الذي تم تطويره بواسطة غوغل. وهو يدعم العديد من المنصات المحمولة ، وكذلك PAM (وحدة المصادقة القابلة للتوصيل). يتم إنشاء رموز المرور هذه التي تُستخدم لمرة واحدة باستخدام معايير مفتوحة تم إنشاؤها بواسطة حلفمبادرة المصادقة المفتوحة).

مصادقة SSH ثنائية العامل
مصادقة SSH ثنائية العامل

سأوضح لك في هذه المقالة كيفية الإعداد والتكوين SSH للمصادقة ذات العاملين تحت قبعة حمراء, CentOS, فيدورا و أوبونتو, لينكس النعناع و ديبيان.

تثبيت وحدة Google Authenticator

افتح الجهاز الذي تريد إعداد المصادقة الثنائية وتثبيته بعد ذلك بام المكتبات جنبًا إلى جنب مع مكتبات التطوير اللازمة لـ بام وحدة للعمل بشكل صحيح مع Google Authenticator وحدة.

على قبعة حمراء, CentOS و فيدورا أنظمة تثبيتبام-ديفيل' صفقة.

# yum install pam-devel اجعل برنامج automake libtool gcc-c ++ wget

على أوبونتو, لينكس النعناع و ديبيان تثبيت الأنظمةlibpam0g- ديف' صفقة.

# apt-get install libpam0g-dev اجعل automake libtool gcc-c ++ wget. 

الآن قم باستنساخ وتثبيت ملف Google Authenticator وحدة تحت الصفحة الرئيسية الدليل (افترض أنك قمت بالفعل بتسجيل الدخول إلى الدليل الرئيسي لـ جذر) باستخدام ما يلي أمر git.

# git clone https://github.com/google/google-authenticator-libpam.git. # cd google-Authenticator-libpam / # ./bootstrap.sh. # ./تهيئة. # صنع. # قم بالتثبيت. # مصدق جوجل.

بمجرد تشغيل "مصدق جوجل"الأمر ، سوف يطالبك بسؤال جاد. ببساطة اكتب "ذ” (نعم) كإجابة في معظم الحالات. إذا حدث خطأ ما ، يمكنك الكتابة مرة أخرى "مصدق جوجل"أمر لإعادة ضبط الإعدادات.

  1. هل تريد أن تكون رموز المصادقة معتمدة على الوقت (y / n) ذ

بعد هذا السؤال ، ستحصل علىالمفتاح السري' و 'رموز الطوارئ‘. اكتب هذه التفاصيل في مكان ما ، سنحتاج إلى "المفتاح السري"لاحقًا للإعداد Google Authenticator برنامج.

[[البريد الإلكتروني محمي] google-Authenticator-libpam] # google-Authenticator هل تريد أن تكون رموز المصادقة مستندة إلى الوقت (نعم / ن) ذ
https://www.google.com/chart? chs = 200x200 & chld = M | 0 & cht = qr & chl = otpauth: // totp /[البريد الإلكتروني محمي]٪ 3Fsecret٪ 3DXEKITDTYCBA2TLPL. انت جديد المفتاح السري يكون: XEKITDTYCBA2TLPL
لك رمز التحقق هو 461618. لك رموز خدش الطوارئ نكون:  65083399 10733609 47588351 71111643 92017550. 

بعد ذلك ، اتبع معالج الإعداد واكتب الإجابة في معظم الحالات على أنها "ذ” (نعم) كما هو مبين أدناه.

هل تريد مني تحديث ملف "/root/.google_authenticator" (y / n) ذ هل تريد عدم السماح باستخدامات متعددة لنفس المصادقة. رمز؟ هذا يقيدك بتسجيل دخول واحد كل 30 ثانية ، لكنه يزيد. فرصك في ملاحظة أو حتى منع هجمات man-in-the-middle (y / n) ذ بشكل افتراضي ، تكون الرموز المميزة جيدة لمدة 30 ثانية وللتعويض عن. انحراف زمني محتمل بين العميل والخادم ، نسمح بمزيد من. قبل الوقت الحالي وبعده. إذا واجهت مشاكل مع الفقراء. مزامنة الوقت ، يمكنك زيادة النافذة من الافتراضي. بحجم 1:30 دقيقة إلى حوالي 4 دقائق. هل تريد القيام بذلك (نعم / لا) ذ إذا كان الكمبيوتر الذي تقوم بتسجيل الدخول إليه غير مقوى ضد القوة الغاشمة. محاولات تسجيل الدخول ، يمكنك تمكين تحديد المعدل لوحدة المصادقة. بشكل افتراضي ، يحد هذا من المهاجمين بما لا يزيد عن 3 محاولات تسجيل دخول كل 30 ثانية. هل تريد تمكين تحديد المعدل (y / n) ذ. 

تكوين SSH لاستخدام Google Authenticator Module

افتح ال بام ملف الضبط '/etc/pam.d/sshdوأضف السطر التالي إلى أعلى الملف.

مطلوب المصادقة pam_google_authenticator.so

بعد ذلك ، افتح ملف SSH ملف الضبط '/etc/ssh/sshd_config"ومرر لأسفل للعثور على السطر الذي يقول.

ChallengeResponseA المصادقة لا

قم بتغييره إلى "نعم“. لذلك ، يصبح الأمر كذلك.

ChallengeResponseA المصادقة نعم

أخيرًا ، أعد التشغيل SSH خدمة لإجراء تغييرات جديدة.

# /etc/init.d/sshd إعادة التشغيل

تكوين تطبيق Google Authenticator

إطلاق Google Authenticator التطبيق في هاتفك الذكي. صحافة قائمة الطعام و اختار "قم بإعداد حساب“. إذا لم يكن لديك هذا التطبيق ، فيمكنك تنزيله وتثبيته Google Authenticator التطبيق على الخاص بك Android / iPhone / Blackberry الأجهزة.

حساب إعداد Google Authenticator
حساب إعداد Google Authenticator

صحافة "أدخل مفتاح المقدمة”.

مفتاح سر Google Authenticator
أدخل مفتاح سر Google Authenticator

أضف حسابكاسموادخل إلىالمفتاح السريتم إنشاؤه في وقت سابق.

اسم حساب Google Authenticator
اسم حساب Google Authenticator والمفتاح السري

سيتم إنشاء كلمة مرور لمرة واحدة (رمز التحقق) التي ستتغير باستمرار كل 30 ثانية على هاتفك.

كلمة مرور Google Authenticator لمرة واحدة
كلمة مرور Google Authenticator لمرة واحدة

حاول الآن تسجيل الدخول عبر SSH، ستتم مطالبتك باستخدام كود Google Authenticator (رمز التحقق) و كلمة المرور كلما حاولت تسجيل الدخول عبر SSH. لديك فقط 30 ثانية لإدخال رمز التحقق هذا ، إذا فاتتك ، فسيتم إعادة إنشاء رمز التحقق الجديد.

تسجيل الدخول باسم: tecmint. تم الرفض. باستخدام مصادقة لوحة المفاتيح التفاعلية. رمز التحقق: باستخدام مصادقة لوحة المفاتيح التفاعلية. كلمة المرور: آخر تسجيل دخول: الثلاثاء أبريل 23 13:58:29 2013 من 172.16.25.125. [[البريد الإلكتروني محمي] ~]#

إذا لم يكن لديك هاتف ذكي ، فيمكنك أيضًا استخدام ملف ثعلب النار الوظيفة الإضافية تسمى أداة GAuth Authenticator للقيام بمصادقة ثنائية.

مهم: تعمل المصادقة ذات العاملين مع تسجيل الدخول إلى SSH المستند إلى كلمة مرور. إذا كنت تستخدم أي ملف جلسة SSH للمفتاح العام / الخاص، سوف يتجاهل المصادقة ذات العاملين ويسجّل دخولك مباشرةً.

Teachs.ru