ວິທີການຕັ້ງຄ່າການກວດສອບສອງປັດໃຈ ສຳ ລັບ SSH ໃນ Fedora

ທຸກໆມື້ເບິ່ງຄືວ່າມີການລະເມີດດ້ານຄວາມປອດໄພຫລາຍບ່ອນທີ່ຂໍ້ມູນຂອງພວກເຮົາຕົກຢູ່ໃນອັນຕະລາຍ. ເຖິງວ່າຈະມີຄວາມຈິງທີ່ວ່າ SSH ແມ່ນວິທີທີ່ປອດໄພໃນການສ້າງການເຊື່ອມຕໍ່ຫ່າງໄກສອກຫຼີກກັບລະບົບ Linux, ແຕ່ຍັງ, ຜູ້ໃຊ້ທີ່ບໍ່ຮູ້ຈັກສາມາດເຂົ້າເຖິງເຄື່ອງ Linux ຂອງທ່ານໄດ້ຖ້າພວກເຂົາລັກລະຫັດຜ່ານ SSH ຂອງທ່ານ, ເຖິງແມ່ນວ່າທ່ານຈະປິດລະຫັດຜ່ານຫຼືພຽງແຕ່ອະນຸຍາດໃຫ້ການເຊື່ອມຕໍ່ SSH ຜ່ານ ຄີສາທາລະນະແລະເອກະຊົນ.

ໃນບົດຂຽນນີ້, ພວກເຮົາຈະອະທິບາຍວິທີການຕັ້ງຄ່າການກວດສອບສອງປັດໃຈ (2FA) ສຳ ລັບ SSH ກ່ຽວກັບການແຈກຈ່າຍ Fedora Linux ໂດຍໃຊ້ Google Authenticator ເພື່ອເຂົ້າເຖິງລະບົບ Linux ທີ່ຢູ່ຫ່າງໄກໃນແບບທີ່ປອດໄພກວ່າໂດຍການສະ ໜອງ TOTP (The Time-based One-time ລະຫັດຜ່ານ) ຈຳ ນວນທີ່ຜະລິດໂດຍແບບສຸ່ມໂດຍແອັບພລິເຄຊັນກວດສອບຄວາມຖືກຕ້ອງໃນອຸປະກອນມືຖື.

ໃຫ້ສັງເກດວ່າ, ທ່ານສາມາດໃຊ້ໂປແກຼມກວດສອບຄວາມຖືກຕ້ອງແບບສອງທາງໃດ ໜຶ່ງ ສຳ ລັບອຸປະກອນມືຖືຂອງທ່ານທີ່ເຂົ້າກັນໄດ້ກັບ TOTP algorithm. ມີແອັບ free ທີ່ບໍ່ເສຍຄ່າ ຈຳ ນວນຫລາຍ ສຳ ລັບ Android ຫລື IOS ທີ່ຮອງຮັບ TOTP ແລະ Google Authenticator, ແຕ່ບົດຂຽນນີ້ໃຊ້ Google Authenticator ເປັນຕົວຢ່າງ.

ຕິດຕັ້ງ Google Authenticator ໃນ Fedora

ກ່ອນອື່ນ ໝົດ, ຕິດຕັ້ງໂປແກຼມ Google Authenticator ໃນເຄື່ອງແມ່ຂ່າຍ Fedora ຂອງທ່ານໂດຍໃຊ້ ຄຳ ສັ່ງ dnf.

$ sudo dnf install -y google-authenticator

ເມື່ອ Google Authenticator ຕິດຕັ້ງແລ້ວ, ຕອນນີ້ທ່ານສາມາດ ດຳ ເນີນການສະ ໝັກ ໄດ້ແລ້ວ.

$ google-authenticator

ໃບສະ ໝັກ ໄດ້ກະຕຸ້ນທ່ານດ້ວຍ ຄຳ ຖາມ ຈຳ ນວນ ໜຶ່ງ. ຊຸດຂໍ້ມູນຫຍໍ້ຕໍ່ໄປນີ້ສະແດງໃຫ້ທ່ານເຫັນວິທີການຕອບ ຄຳ ຖາມກ່ຽວກັບການຕັ້ງຄ່າທີ່ປອດໄພສົມເຫດສົມຜົນ.

Do you want authentication tokens to be time-based (y/n) y Do you want me to update your "/home/user/.google_authenticator" file (y/n)? y

ແອັບພລິເຄຊັນໃຫ້ທ່ານມີລະຫັດລັບ, ລະຫັດຢືນຢັນແລະລະຫັດກູ້ຂໍ້ມູນ. ຮັກສາລະຫັດເຫລົ່ານີ້ໄວ້ໃນທີ່ປອດໄພ, ເພາະວ່າລະຫັດເຫລົ່ານີ້ແມ່ນວິທີດຽວທີ່ຈະເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍຂອງທ່ານຖ້າທ່ານສູນເສຍອຸປະກອນມືຖື.

ການຕັ້ງຄ່າການກວດສອບໂທລະສັບມືຖື

ໃນໂທລະສັບມືຖືຂອງທ່ານ, ເຂົ້າໄປທີ່ຮ້ານ app Google Play ຫຼື iTunes ແລະຄົ້ນຫາ Google Authenticator ແລະຕິດຕັ້ງແອັບພລິເຄຊັນ.

ຕອນນີ້ເປີດໂປແກຼມ Google Authenticator ໃນໂທລະສັບມືຖືຂອງທ່ານແລະສະແກນລະຫັດ QR ທີ່ສະແດງຢູ່ ໜ້າ ຈໍຂອງ Fedora. ເມື່ອການສະແກນລະຫັດ QR ສຳ ເລັດແລ້ວ, ທ່ານຈະໄດ້ຮັບເລກທີ່ຜະລິດແບບສຸ່ມໂດຍການ ນຳ ໃຊ້ໂປແກຼມກວດສອບຄວາມຖືກຕ້ອງແລະ ນຳ ໃຊ້ຕົວເລກນີ້ທຸກໆຄັ້ງທີ່ທ່ານເຊື່ອມຕໍ່ກັບເຊີບເວີ Fedora ຂອງທ່ານຫ່າງໄກສອກຫຼີກ.

ສຳ ເລັດການຕັ້ງຄ່າ Google Authenticator

ໂປແກຼມ Google Authenticator ກະຕຸ້ນ ຄຳ ຖາມເພີ່ມເຕີມແລະຕົວຢ່າງຕໍ່ໄປນີ້ສະແດງໃຫ້ເຫັນວິທີການຕອບພວກເຂົາໃນການຕັ້ງຄ່າການຕັ້ງຄ່າທີ່ປອດໄພ.

ຕອນນີ້ທ່ານ ຈຳ ເປັນຕ້ອງ ກຳ ຫນົດຄ່າ SSH ເພື່ອ ນຳ ໃຊ້ການກວດສອບສອງທາງ ໃໝ່ ດັ່ງທີ່ໄດ້ອະທິບາຍໄວ້ຂ້າງລຸ່ມນີ້.

ຕັ້ງຄ່າ SSH ເພື່ອໃຊ້ Google Authenticator

ເພື່ອ ກຳ ຫນົດຄ່າ SSH ໃນການ ນຳ ໃຊ້ໂປແກຼມກວດສອບຄວາມຖືກຕ້ອງ, ທຳ ອິດທ່ານຕ້ອງມີການເຊື່ອມຕໍ່ SSH ທີ່ເຮັດວຽກໂດຍໃຊ້ລະຫັດ SSH ສາທາລະນະ, ເພາະວ່າພວກເຮົາຈະ ກຳ ລັງປິດການເຊື່ອມຕໍ່ລະຫັດຜ່ານ.

ເປີດເອກະສານ /etc/pam.d/sshd ໃນເຊີຟເວີຂອງທ່ານ.

$ sudo vi /etc/pam.d/sshd

ປະກອບ ຄຳ ຄິດເຫັນອອກລະຫັດຜ່ານລະຫັດຜ່ານ -uthuth code ທີ່ຢູ່ໃນແຟ້ມ.

#auth       substack     password-auth

ຖັດໄປ, ວາງສາຍຕໍ່ໄປນີ້ໃສ່ທ້າຍເອກະສານ.

auth sufficient pam_google_authenticator.so

ບັນທຶກແລະປິດແຟ້ມ.

ຕໍ່ໄປ, ເປີດແລະດັດແກ້ເອກະສານ/etc/ssh/sshd_config.

$ sudo vi /etc/ssh/sshd_config

ຄົ້ນຫາເສັ້ນ ChallengeResponseAuthentication ແລະປ່ຽນມັນເປັນ ແມ່ນແລ້ວ .

ChallengeResponseAuthentication yes

ຄົ້ນຫາເສັ້ນ ລະຫັດຜ່ານການກວດສອບລະຫັດຜ່ານແລະປ່ຽນເປັນ ບໍ່ .

PasswordAuthentication no

ຖັດໄປ, ວາງສາຍຕໍ່ໄປນີ້ໃສ່ທ້າຍເອກະສານ.

AuthenticationMethods publickey,password publickey,keyboard-interactive

ບັນທຶກແລະປິດເອກະສານ, ແລະຫຼັງຈາກນັ້ນເລີ່ມ SSH ໃໝ່.

$ sudo systemctl restart sshd

ການທົດສອບການກວດສອບສອງປັດໄຈກ່ຽວກັບ Fedora

ຕອນນີ້ພະຍາຍາມເຊື່ອມຕໍ່ກັບເຊີບເວີຂອງທ່ານຈາກໄລຍະໄກ, ມັນຈະຂໍໃຫ້ທ່ານໃສ່ລະຫັດຢືນຢັນ.

$ ssh [email 

Verification code:

ລະຫັດຢືນຢັນຈະຖືກສ້າງຂື້ນໂດຍອັດຕະໂນມັດໃນໂທລະສັບມືຖືຂອງທ່ານໂດຍການ ນຳ ໃຊ້ໃບຢັ້ງຢືນຂອງທ່ານ. ນັບຕັ້ງແຕ່ລະຫັດທີ່ຜະລິດປ່ຽນແປງທຸກໆສອງສາມວິນາທີ, ທ່ານ ຈຳ ເປັນຕ້ອງໃສ່ມັນໄວກ່ອນທີ່ມັນຈະສ້າງລະຫັດ ໃໝ່.

ຖ້າທ່ານໃສ່ລະຫັດຢືນຢັນທີ່ບໍ່ຖືກຕ້ອງ, ທ່ານຈະບໍ່ສາມາດເຊື່ອມຕໍ່ກັບລະບົບ, ແລະທ່ານຈະໄດ້ຮັບການອະນຸຍາດຕໍ່ໄປນີ້ທີ່ຖືກປະຕິເສດຄວາມຜິດພາດ.

$ ssh [email 

Verification code:
Verification code:
Verification code:
Permission denied (keyboard-interactive).

ໂດຍການຈັດຕັ້ງປະຕິບັດການກວດສອບສອງວິທີທີ່ງ່າຍໆນີ້, ທ່ານໄດ້ເພີ່ມຄວາມປອດໄພໃຫ້ກັບລະບົບຂອງທ່ານແລະເຊັ່ນດຽວກັນນີ້ມັນຈະເຮັດໃຫ້ຜູ້ໃຊ້ທີ່ບໍ່ຮູ້ຈັກສາມາດເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍຂອງທ່ານໄດ້ຍາກ.