Линук 2ФА: Како осигурати ССХ пријаве са Гоогле Аутхентицатор и Иубикеи

Линук 2ФА: Како осигурати ССХ пријаве са Гоогле Аутхентицатор и Иубикеи

Услуге повезане са Интернетом су посебно подложне нападима за пријаву јер се било ко на свету може пријавити на ваш налог из удобности свог кауча. Током неколико година развијено је неколико додатака за аутентификацију за борбу против ове урођене слабости у стандардном моделу провере идентитета корисника / лозинке. Најчешћа је двофакторска аутентификација (2ФА) јер 2ФА захтева да докажете да поседујете нешто поред познавања корисничког имена и лозинке. Још једна добро позната метода захтева да корисници поседују хардверски уређај који пружа ротирајуће лозинке.

У овом чланку показаћу вам како да закључате свој Линук ССХ сервер помоћу обе методе - потребан је Иубикеи да унесе лозинку, а ток Гоогле Аутхентицатор је потребан да бисте довршили пријаву..

Иубикеи је хардверски уређај који пружа разне механизме за криптографску аутентификацију, као што су једнократне лозинке (ОТП) и шифрирање јавних кључева (ПКИ). Гоогле Аутхентицатор је софтверска апликација која пружа ОТП-ове за употребу као други фактор аутентификације.

Коришћење Гоогле Аутентификатора за заштиту ваших Линук ССХ пријава

Прво је прво - преузмите мобилну апликацију Гоогле Аутхентицатор за свој телефон или таблет. Једном када то имате, можемо доћи на посао. Доступан је и из Плаи Сторе-а и из Апп Сторе-а.

Провјеру аутентичности за пријаву у Линук обично пружају књижице Плуггабле Аутхентицатион Модулес (ПАМ). Као што име говори, ПАМ подржава додавање произвољних модула за аутентификацију. У овом случају ћемо "прикључити" слој Гоогле аутентификатора на уобичајену пријаву за ССХ да бисмо затражили код након што корисник унесе лозинку.

Да бисмо то урадили, морамо започети инсталирањем потребних ПАМ библиотека:

$ судо апт - инсталирајте либпам-гоогле-аутентификатор
Читање спискова пакета ... Готово
Изградња стабла зависности
Читање државних информација ... Готово
Следећи додатни пакети биће инсталирани:
либкренцоде3
Следећи НОВИ пакети ће бити инсталирани:
либпам-гоогле-аутентификатор либкренцоде3
0 надограђено, 2 ново инсталирана, 0 за уклањање и 356 није надограђено.
Треба да добијете 46,4 кБ архиве.
Након ове операције користиће се 208 кБ додатног простора на диску.

Да ли желите да наставите [И / н]? и

И покрените аутентификат први пут:

$ гоогле-аутентификатор

Линук 2ФА: Како осигурати ССХ пријаве са Гоогле Аутхентицатор и Иубикеи

Копирајте ове кодове на сигурно. Ако икада изгубите телефон или имате неки други проблем због којег не можете да добијете код, требат ће вам један од ових шифри за хитне случајеве да бисте се пријавили.

Сада морамо да поставимо ову пријаву у вашу апликацију Гоогле Аутхентицатор. Да бисте то учинили, притисните тастер + пријавите се у апликацију Гоогле Аутхентицатор и затим одлучите да ли желите да скенирате КР код или укуцате тајни кључ. Било који од метода ће успети. Након што га додате, у вашој апликацији Гоогле Аутентичар појавит ће се нови унос који изгледа овако:

гоогле-аутх-мобиле-ентри

Сада одговорите са Да да ли желите да ажурирам ваше ~ / .гоогле_аутхентицатор датотеку (и / н) питање, што ће вас питати са више питања.

Да ли желите да онемогућите вишеструко коришћење исте аутентификације

токен? Ово вас ограничава на једну пријаву сваких 30-их, али повећава ваше шансе да приметите или чак спречите нападе човека у средини (и / н) и

Подразумевано су токени добри у трајању од 30 секунди, а како бисмо надокнадили могуће временско померање између клијента и сервера, дозвољавамо додатни токен пре и после текућег времена. Ако наиђете на проблеме са слабом временском синхронизацијом, можете повећати прозор са његове подразумеване величине од 1: 30мин на око 4мин. Да ли желите да то учините (и / н) н

Ако рачунар на који се пријављујете није очвршћен грубим покушајима пријаве, можете омогућити ограничавање брзине за модул за потврду идентитета. Подразумевано, то ограничава нападаче на не више од 3 покушаја пријаве на сваких 30 секунди.

Да ли желите да омогућите ограничавање брзине (и / н) и

Можете да одаберете одговоре који за вас имају највише смисла. Одлучим да онемогућим вишеструко коришћење токена и да омогућим ограничавање брзине. Одлучио сам се да не допустим четвероминутни преокрет, јер и мој рачунар и телефон периодично ажурирају своје време, тако да је тешко замислити како сат може тако тешко да постане изван синхронизације. Ако се намјеравате пријавити у удаљени систем с пуно кашњења, можда бисте хтјели дозволити дужи временски скок.

Из радозналости, ако погледамо нову датотеку .гоогле-аутентификатор, можемо видети те изборе тамо сачуване, заједно са нашим жетонима за хитне случајеве.

$ цат .гоогле_аутхентицатор
НО7ЗВ33И34ЈМПЦКБ
РАТЕ_ЛИМИТ 3 30
ВИНДОВ_СИЗЕ 17
ДИСАЛЛОВ_РЕУСЕ
ТОТП_АУТХ
73444347
15364641
36772087
14155810
92578001

Добро је осигурати да ову датотеку чита само ваш корисник, а то је како је она постављена према задатку:

$ лс -л .гоогле_аутхентицатор

-р -------- 1 јдв јдв 126 26. април 08:30 .гоогле_аутхентицатор

Сада смо поставили Гоогле Аутентификатор, али наш систем нема појма да би га још требао користити за пријаву. Да бисмо то постигли, морамо да ажурирамо конфигурацију Плуггабле Аутхентицатион Модуле (ПАМ).

Уредите ПАМ ссх цонфиг датотеку као роот:

$ судо вим /етц/пам.д/ссхд

Додајте ту линију негде, ставићу је на дно:

# Користите Гоогле Аутх за ссх пријаве
потребна аутх пам_гоогле_аутхентицатор.со

Потребна је још једна промена; измените поставку изазова и одговора у датотеци ссхд_цонфиг пребацивањем не на да:

$ судо вим / етц / ссх / ссхд_цонфиг
# Промените у иес да бисте омогућили лозинке за одговор на изазов (пазите на проблеме
# неки ПАМ модули и нити)
ЦхалленгеРеспонсеАутхентицатион иес

Сада поново покрените свој ССХ демон и испробајте га:

$ судо сервис ссх рестарт

Не одјавите се. Оставите пријављени само за случај да се из неког разлога не можете вратити. Покрените други терминал и ССХ у вашој ново конфигурисаној машини.

Једном када унесем лозинку, од мене ће се затражити тренутни код Гоогле Аутхентицатор. Унос обе стране омогућава вам да се пријавите:

$ ссх јдв@192.168.1.118
Лозинка: <=== уписана у мојој лозинци
Верификациони код:
Добродошли у Убунту 12.04.5 ЛТС (ГНУ / Линук 3.13.0-32-генерички к86_64)

Коришћење Иубикеи-а за осигурање ваших Линук ССХ пријава

Сада имамо систем који захтева пријаву корисничког имена, лозинке и токена Гоогле Аутхентицатор. То је прилично сигурно, али можемо још боље. Можемо конфигурисати систем да прихвата само случајно генерисану лозинку од Иубикеи-а.

Од три дела података која су потребна за пријаву (корисничко име, лозинка, код за аутентификацију), нико није могао унапред знати последња два, нити их поново употребити ако их открије.

Прво је прво - набавите Иубикеи било директно из Иубицо-а или из места као што је Амазон. За то ћу користити Иубикеи Нано.

Затим инсталирајмо потребне пакете. Додајте Иубицо ППА (личну архиву производа) и инсталирајте либпам-иубицо ПАМ библиотеку.

$ судо адд-апт-репозиториј ппа: иубицо / стабле
$ судо апт-гет упдате
$ судо апт - инсталирај либпам-иубицо

потврдите-иуби-либс-инсталацију

Сама датотека библиотеке носи назив пам_иубицо.со и требало би је инсталирати у / либ / сецурити /

$ лс -л / либ / сигурност /
укупно 104
-рв-р - р-- 1 роот роот 10296 19 мар 2013 пам_цк_цоннецтор.со
-рв-р - р-- 1 роот роот 43480 Мар 28 2013 пам_гноме_кеиринг.со
-рв-р - р-- 1 роот роот 47672 25 нов 2016 пам_иубицо.со
$

Требаће нам сет Иуби АПИ акредитива. Посетите страницу Иубицо АПИ овде.

иуби-гет-апи-кредити

И следите упутства. Након што доставите своју е-пошту и Иубикеи ОТП, веб локација ће вам дати ИД клијента и тајни кључ који можете да користите:

иуби-апи-кредити

Последњи део информација који ће вам бити потребан је ваш Иубикеи токен. То је само првих 12 цифара било које једнократне лозинке (ОТП) коју избаци ваш Иубикеи. Да бисте то постигли, усмјерите курсор у прозор терминала или уређивач текста - неко место које ће заузети унос. Затим уметните Иубикеи у УСБ уређај. Ако има дугме, притисните га. Ако то није случај, као што је Нано модел, онда лагано притисните сам Иубикеи у УСБ прикључак. Требало би да напише једнократну лозинку у облику дугог низа знакова. Првих дванаест цифара су све што нам је потребно за овај део. У мом случају то је ово:

ццццццхцдјед

Затим конфигуришите /етц/пам.д/ссхд датотеку да захтева иубикеи за пријаву додавањем ове линије на врх датотеке, користећи ид и кључ који сте добили са Иуби АПИ локације:

потребан аутх пам_иубицо.со ид = 38399 кеи = лЗкКСрХхиК6дЕБЗнИЕе2 + Уве3НА = дебуг аутхфиле = / етц / иубикеи_маппингс моде = клијент

Морамо такође рећи ссхд-овом демону да више не би требало да прихвата лозинке. Ако то не учинимо, он ће и даље прихваћати нормалне лозинке поред Иубикеи ОТП-а, што у ствари није оно што желимо. Да бисте то учинили, коментирајте ову линију тако што ћете испред ње ставити #:

# @ укључују уобичајене аутх

Сада морамо да повежемо вашег корисника са својим Иубикеи-јем. Да бисте то учинили, уредите / етц / иубикеи_маппингс датотеку и додајте своје корисничко име и свој тобик Иубикеи од 12 знакова одвојени двоточком:

јдв: ццццццхцдјед

Ако имате више Иубикеис-а, можете додати још додавањем додатних Иубикеи-јевих токена на исту линију, одвојене двоточком. Да имам три јубикеја, моја линија би изгледала овако:

јдв: ццццццхцдјед: јоевубтклруи: сгјииртвскхг

На крају, поново покрените ссх сесију и испробајте је. Имајте на уму да бисте требали остати пријављени на вашу ссх сесију само у случају да то не успије.

$ судо ссх рестарт

Када се од вас затражи лозинка, уместо ње притиснем свој Иубикеи и пријављује ме. Пошто сам укључио опцију за уклањање погрешака у датотеку етц / пам.д / ссхд, добијам пуно резултата, али сам то упарио за овај исјечак зато што је заиста користан само ако нешто пође по злу:

$ ссх 192.168.1.118
Лозинка: <=== дошао је притиском на мој Иубикеи
Верификациони код:
Добродошли у Убунту 12.04.5 ЛТС (ГНУ / Линук 3.13.0-32-генерички к86_64)

То је све. Обе ове технологије су веома техничке природе, али велико подизање врше библиотеке ПАМ-а које испоручују појединачни добављачи. То значи да смо у могућности да осигурамо ссх приступ нашим Линук системима са релативно малим променама конфигурације.

Бацкгроундер на СМС-у и 2ФА

Иако није неопходно за довршавање овог водича, неке позадине зашто је СМС 2ФА слаб, могу бити од помоћи. Постоји разлог зашто су ствари попут Иубикеис-а и апликација за аутентификацију пожељније у односу на СМС 2ФА.

Двофакторна аутентификација СМС-а је слаба

Најприхваћенија дефиниција 2ФА је „нешто што знате и нешто што имате“. „Нешто што знате“ је лозинка. „Нешто што имате“ обично значи шестоцифрени код који дајете са неког уређаја којем имате само приступ. Давање тачног кода довољан је доказ да „имате“ нешто.

Најчешћи облик 2ФА на Интернету данас је употреба СМС текстуалних порука за слање 2ФА кода у време пријаве. Због слабости у СС7 протоколу и слабе провере корисника у мобилним тимовима за подршку, прилично је лако преусмерити текстуалну поруку на било који телефон који желите. Две слабости се рутински користе у методи СМС 2ФА: Прво, телефонски број није трајно везан за телефон, тако да свако може примити СМС поруку са кодом. Друго, код за потврду СМС-а шаље се путем непоузданог и некодираног медија. По својој дефиницији, ово не испуњава услов да будете "нешто што имате". То је заправо „нешто што сам вам управо дао“, што није исто.

Апликације аутентификатора и токени хардвера су јачи

Боље решење је коришћење мобилне апликације за потврђивање идентитета као што су Гоогле Аутхентицатор или Аутхи. Још боље решење је спајање те врсте 2ФА са ротирајућом, непредвидивом лозинком са уређаја попут Иубикеи-а. Ни апликације, ни хардверски токени не преносе никакве податке путем интернета или мобилног система, што уклања тај вектор пресретања. Лоша страна је што их је теже подесити, што значи да се најчешће користи слабија СМС метода.

Повезан:
Ресурси за шифровање: Велики списак алата и водича
Шта је груби напад?
Водич за рачунарску и интернетску сигурност без жаргона
Крајњи водич за сигурност Линук рачунара

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 5 = 4

Adblock
detector