ssh

Cara Mengaktifkan Otentikasi Dua Faktor untuk SSH di Fedora Linux

Cara Mengaktifkan Otentikasi Dua Faktor untuk SSH di Fedora Linux

Dalam dunia teknologi informasi, keamanan menjadi perhatian utama saat ini. Setiap hari serangan baru dan canggih diluncurkan terhadap organisasi. Administrator sistem menggunakan berbagai cara untuk memperkuat keamanan server mereka. Salah satu cara umum untuk berinteraksi dengan server adalah menggunakan SSH (atau Saman SHell) protokol yang banyak digunakan untuk remote logging ke server. Selain login shell jarak jauh, ini juga digunakan untuk menyalin file antara dua komputer. Tidak seperti metode lain seperti telnet, rcp, ftp, dll., Protokol SSH menggunakan mekanisme enkripsi untuk mengamankan komunikasi antara dua host.

Keamanan yang disediakan oleh protokol SSH dapat lebih ditingkatkan dengan menggunakan otentikasi dua faktor. Ini selanjutnya akan menempatkan dinding yang kuat antara komputer host Anda dan penyerang. Untuk terhubung ke server jarak jauh Anda dengan SSH, Anda akan memerlukan kata sandi serta kode verifikasi (atau OTP) dari aplikasi autentikator yang berjalan di perangkat seluler Anda. Ini sangat membantu jika penyerang mencuri kata sandi Anda, dia tidak akan bisa masuk ke server Anda tanpa kode verifikasi.

Ada banyak aplikasi autentikator yang tersedia untuk perangkat seluler yang menjalankan Android atau Apple IOS. Panduan ini telah menggunakan aplikasi Google Authenticator untuk server Fedora dan perangkat seluler.

Apa yang akan kita bahas?

Panduan ini akan melihat bagaimana kita dapat menggunakan otentikasi dua faktor dengan protokol SSH untuk mencegah akses tidak sah ke workstation Fedora 30 kami. Kami akan mencoba masuk ke server Fedora kami dari mesin klien Xubuntu untuk melihat apakah pengaturan berfungsi seperti yang diharapkan. Mari kita mulai mengonfigurasi SSH dengan otentikasi dua faktor.

Prasyarat

  1. OS Fedora 30 diinstal pada server jarak jauh dengan akun pengguna 'sudo'.
  2. Mesin Xubuntu untuk mengakses server di atas.
  3. Perangkat seluler dengan aplikasi Google-Authenticator terpasang di dalamnya.

Ikhtisar Pengaturan

  1. Mesin Fedora 30 dengan IP: 192.168.43.92
  2. Mesin Xubuntu dengan IP: 192.168.43.71
  3. Perangkat seluler dengan aplikasi Google-Authenticator.

Langkah 1. Instal Google-Authenticator di server Fedora 30 menggunakan perintah:

$ sudo dnf install -y google-authenticator

Langkah 2. Jalankan perintah di bawah ini untuk memulai Google-Authenticator di server Anda:

$ google-autentikator

Ini akan mengajukan beberapa pertanyaan untuk mengonfigurasi server agar berfungsi dengan perangkat seluler Anda:

Apakah Anda ingin token autentikasi berbasis waktu (y/n) y [Masukkan 'Y' di sini]

Ini akan menampilkan kode QR di jendela terminal; biarkan jendela terminal ini tetap terbuka untuk saat ini.

Langkah 3. Instal aplikasi Google-Authenticator di perangkat seluler Anda dan buka. Sekarang klik opsi 'Pindai kode QR.' Sekarang fokuskan kamera ponsel Anda untuk memindai kode QR di jendela terminal server Anda.

Langkah 4. Setelah memindai kode QR, perangkat seluler Anda akan menambahkan akun untuk server Anda dan menghasilkan kode acak yang akan terus berubah dengan pengatur waktu yang berputar, seperti yang ditunjukkan pada gambar di bawah ini:

Langkah 5. Sekarang kembali ke jendela terminal server Anda dan masukkan di sini kode verifikasi dari perangkat seluler Anda. Setelah kode dikonfirmasi, itu akan menghasilkan satu set kode awal. Kode awal ini dapat digunakan untuk masuk ke server Anda jika Anda kehilangan perangkat seluler Anda. Jadi, simpan di tempat yang aman.

Langkah 6. Pada langkah selanjutnya, ia akan mengajukan beberapa pertanyaan untuk menyelesaikan konfigurasi. Kami telah memberikan di bawah serangkaian pertanyaan dan jawabannya untuk mengonfigurasi pengaturan. Anda dapat mengubah jawaban tersebut sesuai kebutuhan Anda:

Apakah Anda ingin saya memperbarui "/home/linuxhint/.file google_authenticator"? (y/n) y   [Masukkan 'y' di sini]
Apakah Anda ingin melarang beberapa penggunaan token otentikasi yang sama?? Ini membatasi Anda untuk satu kali login setiap 30 detik, tetapi ini meningkatkan peluang Anda untuk mengetahui atau bahkan mencegah serangan man-in-the-middle (y/n) y   [Masukkan 'y' di sini]
Secara default, token baru dibuat setiap 30 detik oleh aplikasi seluler.Untuk mengimbangi kemungkinan penyimpangan waktu antara klien dan server, kami mengizinkan token tambahan sebelum dan sesudah waktu saat ini. Ini memungkinkan kemiringan waktu hingga 30 detik antara server otentikasi dan klien. Jika Anda mengalami masalah dengan sinkronisasi waktu yang buruk, Anda dapat meningkatkan jendela dari ukuran default 3 kode yang diizinkan (satu kode sebelumnya, kode saat ini, kode berikutnya) menjadi 17 kode yang diizinkan (8 kode sebelumnya, kode saat ini, dan kode sebelumnya). 8 kode berikutnya). Ini akan memungkinkan kemiringan waktu hingga 4 menit antara klien dan server. Apakah Anda ingin melakukannya?? (y/n) y   [Masukkan 'y' di sini]
Jika komputer yang Anda masuki tidak diperkuat terhadap upaya masuk paksa, Anda dapat mengaktifkan pembatasan kecepatan untuk modul otentikasi. Secara default, ini membatasi penyerang hingga tidak lebih dari 3 upaya login setiap 30 detik. Apakah Anda ingin mengaktifkan pembatasan tarif?? (y/n) y   [Masukkan 'y' di sini]

Langkah 7. Sekarang buka file sshd_config dengan editor apa pun

$ sudo vi /etc/ssh/sshd_config

dan lakukan langkah-langkah berikut:

  1. Batalkan komentar dan setel Otentikasi Kata Sandi untuk ya.
  2. Batalkan komentar dan setel ChallengeResponseAuthentication untuk ya.
  3. Batalkan komentar dan setel GunakanPAM untuk ya.

Simpan dan tutup file.

Langkah 8. Selanjutnya, buka /etc/pam.file d/sshd

$ sudo vi /etc/pam.d/sshd

dan tambahkan baris berikut di bawah baris 'auth substack password auth:

auth diperlukan pam_google_authenticator.begitu

Langkah 9. Mulai dan aktifkan layanan SSH di server Fedora dengan perintah:

$ sudo systemctl start sshd
$ sudo systemctl aktifkan sshd

Semua langkah untuk mengonfigurasi server sekarang selesai. Kami sekarang akan pindah ke mesin klien kami, i.e., Xubuntu, dalam kasus kami.

Langkah 10. Sekarang coba login dengan SSH dari mesin Xubuntu ke server Fedora 30:

$ssh [dilindungi email]

Seperti yang Anda lihat, SSH pertama-tama meminta kata sandi server dan kemudian kode verifikasi dari perangkat seluler Anda. Setelah Anda memasukkan kode verifikasi dengan benar, Anda dapat masuk ke server Fedora jarak jauh.

Kesimpulan

Selamat, kami telah berhasil mengonfigurasi akses SSH dengan otentikasi dua faktor di Fedora 30 OS. Anda selanjutnya dapat mengonfigurasi SSH untuk hanya menggunakan kode verifikasi untuk masuk tanpa kata sandi server jarak jauh.

permainan Instal Dolphin Emulator terbaru untuk Gamecube & Wii di Linux
Instal Dolphin Emulator terbaru untuk Gamecube & Wii di Linux
Dolphin Emulator memungkinkan Anda memainkan game Gamecube & Wii pilihan Anda di Komputer Pribadi (PC) Linux. Menjadi emulator game sumber terbuka da...
permainan Cara Menggunakan Cheat Engine GameConqueror di Linux
Cara Menggunakan Cheat Engine GameConqueror di Linux
Artikel ini mencakup panduan tentang menggunakan mesin cheat GameConqueror di Linux. Banyak pengguna yang bermain game di Windows sering menggunakan a...
permainan Emulator Konsol Game Terbaik untuk Linux
Emulator Konsol Game Terbaik untuk Linux
Artikel ini akan mencantumkan perangkat lunak emulasi konsol game populer yang tersedia untuk Linux. Emulasi adalah lapisan kompatibilitas perangkat l...