نکات مدیریت سرور

احراز هویت دو مرحله ای در SSH

0 102

یکی از امکاناتی که حدود چند سالی است در حوزه امنیت  مطرح شده است احراز دو مرحله ای یا اصطلاحا two-factor-authentication  می باشد که یکی از بهترین و امن ترین راهکارها برای جلوگیری از حملاتی مانند Brute Force  و دسترسی های غیر مجاز به  صفحات لاگین می باشد. و مکانیزم عملکرد آن بدین صورت است که رمز تصادفی ایجاد شده برای مدت زمان خاصی تواید می گردد و بعد از گذشت زمان تغیین شده دیگر رمز قبلی کار نمی کند.و باید رمز تصادفی جدیدی دریافت شود.

 

Two-factor-Authentication

 

در این آموزش قصد داریم نحوه راه اندازی two-factor-authentication را برای ssh را دنبال کنیم. تا از حملاتی نظیر Brute Force در امان باشیم.

برای این منظور در سرور های لینوکسی مبتنی بر Red-Hat ( مانند CentOS ) اقدامات ذیل را انجام دهید.

1- نصب package های مورد نیاز برای احراز هویت 2 مرحله ای :

    yum -y install pam-devel make gcc-c++ wget#

#wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2

#tar -xvf libpam-google-authenticator-1.0-source.tar.bz2

#cd libpam-google-authenticator-1.0

#make

#make install

#google-authenticator

پس از اجرای دستور آخر از شما سوالاتی پرسیده می شود که باید به آنها پاسخ دهید و سپس در انتها به شما  کدهای ضروری یا به عبارتی emergency codes  میدهد که شما باید این کدها را در جای امن ذخیره نمایید تا درصورتی authenticator به هر دلیلی در دسترس نبود از طریق این کدها به سرور دسترسی داشته باشید . کدهای مربوطه مانند کدهای ذیل می باشد.

Your new secret key is: KEXDTITYCBA2TPLL

Your verification code is 625013

Your emergency scratch codes are

23746152

57657844

75412864

88654126

85647521

در مرحله بعد باید google-authenticator را در فایل کانفیگ SSH  بارگذاری نماییم.

پس از بارکردن فایل کانفیگ عبارت زیر را در ابتدای فایل کانفیگ قرار دهید

auth required pam_google_authenticator.so

و سپس مقدار ChallengeResponseAuthentication را yes کنید.

در مرحله بعد  سرویس SSH را ریستارت نمایید تا تنظیمات مربوطه اعمال شود.

در مرحله پایانی شما باید نرم افزار Google Authenticator را در گوشی موبایل  و یا tablet خود نصب کنید . پس از نصب نرم افزار مورد نظر یک حساب کاربری جدید با رمزعبور مخفی یا صطلاحا Secret Key که در قسمت بالا توضیح داده شد یک حساب کاربری اضافه کنید تا رمزعبور یکبار مصرف شما تولید شود.

پس از دریافت رمز جدید تصادفی میتوانید به سرور خود از طریق SSH  متصل شوید.

در صورتی که می خواهید از حملات Brute Force  در امان باشید و نیاز به اعمال تغییرات مربوطه از ناحیه تیم امنیت سکیورهاست دارید.لطفا تیکتی به بخش امنیت سکیورهاست ارسال نمایید.

در باره نویسنده / 

BlogAdmin

ارسال پاسخ

ایمیل شما نمایش داده نمی‌شود. موارد مورد نیاز علامتگذاری شده است *