ज्ञानधार → Centos 7 पर Google प्रमाणक का उपयोग करके SSH में दो कारक प्रमाणीकरण स्थापित करना

एसएसएच सेवा में पासवर्ड अनुमान लगाने वाले हमलों की संख्या सबसे अधिक है। आपने अभी-अभी अपना सर्वर लॉन्च किया है और कुछ घंटों के बाद आप लॉग में देख सकते हैं अज्ञात आईपी पते से कनेक्शन प्रयास देखें। प्रयासों की संख्या कम करने के लिए, हम तुरंत sshd सेटिंग्स में पोर्ट नंबर बदलने की सलाह देते हैं। बेशक, आपको अक्षरों, प्रतीकों और संख्याओं, केस सेंसिटिव का उपयोग करके अच्छी जटिलता का पासवर्ड निर्दिष्ट करना चाहिए। लिनक्स सर्वर के लिए, एक नियम के रूप में, आपको 2 पासवर्ड याद रखने होंगे, 1 नियमित उपयोगकर्ता के लिए, दूसरा रूट के लिए। यदि कई सर्वर हैं, तो, एक नियम के रूप में, वे विभिन्न अनुप्रयोगों का सहारा लेते हैं जो सत्र सेटिंग्स (होस्ट, लॉगिन और पासवर्ड) संग्रहीत करेंगे, जो तब तक काफी सामान्य है जब तक कोई हमलावर आपके कार्य केंद्र तक पहुंच प्राप्त नहीं कर लेता। किसी भी स्थिति में, संक्रमित साइटें, सॉफ़्टवेयर इत्यादि हैं। इससे पता चलता है कि आप पूरी तरह से आश्वस्त नहीं हो सकते कि यह डेटा केवल आपके लिए सुरक्षित और सुलभ है। इस मामले का एक समाधान है.

दो-कारक प्रमाणीकरण - आपके फ़ोन पर आपके लॉगिन और पासवर्ड में एक एप्लिकेशन जोड़ा जाता है, जो समय और एक अद्वितीय कुंजी के आधार पर, संख्याओं के रूप में एक प्रश्न और प्रश्न उत्तर उत्पन्न करता है। अपना लॉगिन और पासवर्ड दर्ज करने के बाद, आपको एक सत्यापन कोड दर्ज करने के लिए कहा जाएगा, जिसे एप्लिकेशन में एक्सेस किया जा सकता है Google Authenticator.

आइए आवश्यक पैकेज स्थापित करें

yum install pam pam-devel google-authenticator 

आइए मोबाइल एप्लिकेशन इंस्टॉल करें

• के लिए डाउनलोड करें Android Devices
• के लिए डाउनलोड करें iOS Devices
• वहाँ से डाउनलोड Microsoft Store

समायोजन

डिफ़ॉल्ट रूप से, sshd सेटिंग्स में उपयोगकर्ता लॉगिन को अक्षम करना बेहतर है, इसलिए यदि आपने अभी एक नया सर्वर स्थापित करना शुरू किया है, तो एक उपयोगकर्ता बनाएं। इसे एक पासवर्ड दें और कमांड से लॉग इन करें:

adduser username
passwd username
su username

उस उपयोगकर्ता के रूप में कमांड चलाएँ जिसके लिए आप दो-कारक प्रमाणीकरण सेट कर रहे हैं:

google-authenticator

पहले संदेश में "y" पर क्लिक करें जहां आपसे पूछा जाएगा कि क्या आप ./google_authenticator फ़ाइल को अपडेट करना चाहते हैं। जब एकाधिक उपयोगों को अक्षम करने के लिए कहा जाए, तो किसी अन्य उपयोगकर्ता को आपके कोड का उपयोग करने से रोकने के लिए फिर से "y" दबाएं। बाकी विकल्पों के लिए, "y" दबाएँ क्योंकि ये सभी इस सॉफ़्टवेयर की दक्षता को बढ़ाते हैं।

सुनिश्चित करें कि आपने गुप्त कुंजी और आपातकालीन पुनर्प्राप्ति कोड को कागज के एक टुकड़े पर कॉपी कर लिया है। इस जानकारी को ऑफ़लाइन रखें, क्योंकि अगर किसी को यह जानकारी मिल भी जाती है, तब भी आपको लॉग इन करने के लिए होस्ट, लॉगिन और पासवर्ड जानना होगा।

आइए अब अपनी सभी सेटिंग्स को SSH सेवा पर लागू करने के लिए PAM को कॉन्फ़िगर करें, ये क्रियाएं उपयोगकर्ता द्वारा पहले ही की जानी चाहिए root

vi /etc/pam.d/sshd

फ़ाइल की शुरुआत में पंक्तियाँ जोड़ें ताकि यह इस तरह दिखे:

#%PAM-1.0
auth required pam_unix.so no_warn try_first_pass 
auth required pam_google_authenticator.so

हम शेष पंक्तियाँ जो फ़ाइल में थीं, छोड़ देते हैं, वे बिना किसी बदलाव के नीचे चली जाती हैं। आइए फ़ाइल को सहेजें और SSH सेवा की स्थापना के लिए आगे बढ़ें।

vi /etc/ssh/sshd_config

"ChallengerResponseAuthentication" पैरामीटर ढूंढें और "नहीं" को "हां" में बदलें। परिवर्तन सहेजें और सेवा पुनः प्रारंभ करें.

service sshd restart

अब अपने मोबाइल डिवाइस पर एप्लिकेशन सेट करें। "मैन्युअल रूप से कुंजी दर्ज करें" विकल्प ढूंढें और उस पर क्लिक करें। वह गुप्त कुंजी दर्ज करें जिसे आपने पहले लिखा था और सहेजें। अपना पासवर्ड दर्ज करने के बाद आपको सत्यापन कोड फ़ील्ड में जो कोड दर्ज करना होगा वह अब दिखाई देगा।

संशोधन:

• इनपुट अनुक्रम बदलना:

हम विशेष रूप से लॉगिन-पासवर्ड और फिर सत्यापन कोड का क्रम निर्धारित करते हैं। यदि आप पहले एप्लिकेशन से कोड और फिर पासवर्ड दर्ज करना चाहते हैं, तो बस पहली पंक्ति हटा दें ताकि फ़ाइल इस तरह दिखे:

#%PAM-1.0
auth required pam_google_authenticator.so

• रूट के रूप में लॉग इन करते समय दो-कारक प्रमाणीकरण

उदाहरण के लिए, आप लॉगिन और पासवर्ड के साथ एक नियमित उपयोगकर्ता के रूप में सर्वर में लॉग इन करना चाहते हैं, और su कमांड दर्ज करते समय, रूट पासवर्ड और एप्लिकेशन से कोड दर्ज करें। ./google_authenticator एप्लिकेशन को रूट के रूप में चलाएं जैसा आपने पहले किया था। नए कोड के साथ मोबाइल एप्लिकेशन सेट करें और फ़ाइल में जोड़ें:

vi /etc/pam.d/su

पंक्ति की शुरुआत तक:

#%PAM-1.0
auth required pam_unix.so no_warn try_first_pass 
auth required pam_google_authenticator.so

बस, आपको सेवा पुनः आरंभ करने की आवश्यकता नहीं है। अब, जब आप रूट के रूप में लॉग इन करने का प्रयास करेंगे, तो कमांड को एप्लिकेशन से एक सत्यापन कोड की आवश्यकता होगी।

पी.एस. हम त्रुटियों से बचने के लिए किसी अन्य एसएसएच सत्र में जांच करने की सलाह देते हैं, आपके पास वापस जाकर इसे ठीक करने का अवसर होगा।