ssh

So aktivieren Sie die Zwei-Faktor-Authentifizierung für SSH in Fedora Linux

So aktivieren Sie die Zwei-Faktor-Authentifizierung für SSH in Fedora Linux

In der Welt der Informationstechnologie ist Sicherheit heutzutage ein wichtiges Anliegen. Jeden Tag werden neue und ausgeklügelte Angriffe gegen Organisationen gestartet. Systemadministratoren verwenden verschiedene Methoden, um die Sicherheit ihrer Server zu erhöhen. Eine der häufigsten Möglichkeiten, mit einem Server zu interagieren, ist die Verwendung von SSH (oder ( Ssicher Schell) Protokoll, das häufig für die Remote-Protokollierung auf einem Server verwendet wird. Neben Remote-Shell-Logins wird es auch zum Kopieren von Dateien zwischen zwei Computern verwendet. Im Gegensatz zu anderen Methoden wie Telnet, RCP, FTP usw., Das SSH-Protokoll verwendet einen Verschlüsselungsmechanismus, um die Kommunikation zwischen zwei Hosts zu sichern.

Die Sicherheit des SSH-Protokolls kann durch die Verwendung der Zwei-Faktor-Authentifizierung weiter erhöht werden. Dadurch wird eine weitere starke Mauer zwischen Ihrem Host-Computer und den Angreifern aufgebaut. Um sich mit SSH mit Ihrem Remote-Server zu verbinden, benötigen Sie ein Passwort sowie einen Verifizierungscode (oder OTP) von einer Authentifikator-Anwendung, die auf Ihrem Mobilgerät ausgeführt wird. Dies ist sehr hilfreich, wenn ein Angreifer Ihr Passwort stiehlt, er kann sich ohne den Verifizierungscode nicht in Ihren Server einloggen.

Es gibt viele Authentifizierungsanwendungen für mobile Geräte mit Android oder Apple IOS. In diesem Handbuch wurde die Google Authenticator-Anwendung sowohl für den Fedora-Server als auch für das mobile Gerät verwendet.

Was wir behandeln werden

In diesem Handbuch erfahren Sie, wie wir die Zwei-Faktor-Authentifizierung mit dem SSH-Protokoll verwenden können, um unbefugten Zugriff auf unsere Fedora 30-Workstation zu verhindern. Wir werden versuchen, uns vom Xubuntu-Client-Rechner bei unserem Fedora-Server anzumelden, um zu sehen, ob das Setup wie erwartet funktioniert working. Beginnen wir mit der Konfiguration von SSH mit Zwei-Faktor-Authentifizierung.

Voraussetzungen

  1. Ein auf dem Remote-Server installiertes Fedora 30-Betriebssystem mit einem 'sudo'-Benutzerkonto.
  2. Eine Xubuntu-Maschine für den Zugriff auf den oben genannten Server.
  3. Ein Mobilgerät, auf dem eine Google-Authenticator-Anwendung installiert ist.

Setup-Übersicht

  1. Fedora 30-Maschine mit IP: 192.168.43.92
  2. Xubuntu-Maschine mit IP: 192.168.43.71
  3. Mobilgerät mit Google-Authenticator-Anwendung.

Schritt 1. Installieren Sie Google-Authenticator auf dem Fedora 30-Server mit dem Befehl:

$ sudo dnf install -y google-authenticator

Schritt 2. Führen Sie den folgenden Befehl aus, um den Google-Authenticator auf Ihrem Server zu starten:

$ google-authenticator

Es werden einige Fragen gestellt, um den Server so zu konfigurieren, dass er mit Ihrem Mobilgerät funktioniert:

Sollen Authentifizierungstoken zeitbasiert sein (j/n) j [Geben Sie hier ‚J‘ ein]

Es zeigt einen QR-Code im Terminalfenster an; halte dieses Terminalfenster vorerst geöffnet.

Schritt 3. Installieren Sie die Google-Authenticator-App auf Ihrem Mobilgerät und öffnen Sie sie. Klicken Sie nun auf die Option 'QR-Code scannen.' Richten Sie nun Ihre mobile Kamera auf das Scannen des QR-Codes im Terminalfenster Ihres Servers.

Schritt 4. Nach dem Scannen des QR-Codes fügt Ihr Mobilgerät ein Konto für Ihren Server hinzu und generiert einen zufälligen Code, der sich mit einem rotierenden Timer ständig ändert, wie in der Abbildung unten gezeigt:

Schritt 5. Gehen Sie nun zurück zu Ihrem Server-Terminal-Fenster und geben Sie hier den Bestätigungscode von Ihrem mobilen Gerät ein. Sobald der Code bestätigt ist, wird ein Satz Rubbelcode generiert. Diese Rubbelcodes können verwendet werden, um sich bei Ihrem Server anzumelden, falls Sie Ihr Mobilgerät verlieren. Bewahren Sie sie also an einem sicheren Ort auf.

Schritt 6. In den weiteren Schritten werden einige Fragen gestellt, um die Konfiguration abzuschließen. Im Folgenden haben wir eine Reihe von Fragen und deren Antworten zur Konfiguration des Setups angegeben. Sie können diese Antworten nach Bedarf ändern:

Soll ich dein "/home/linuxhint/" aktualisieren.google_authenticator"-Datei? (j/n) j   [Geben Sie hier 'y' ein]
Möchten Sie die mehrfache Verwendung desselben Authentifizierungstokens verbieten?? Dies beschränkt Sie auf eine Anmeldung etwa alle 30 Sekunden, erhöht jedoch Ihre Chancen, Man-in-the-Middle-Angriffe zu bemerken oder sogar zu verhindern (j/n) j   [Hier 'y' eingeben]
Standardmäßig wird alle 30 Sekunden ein neuer Token von der mobilen App generiert.Um einen möglichen Zeitversatz zwischen dem Client und dem Server auszugleichen, erlauben wir ein zusätzliches Token vor und nach der aktuellen Uhrzeit. Dies ermöglicht einen Zeitversatz von bis zu 30 Sekunden zwischen dem Authentifizierungsserver und dem Client. Wenn Sie Probleme mit einer schlechten Zeitsynchronisation haben, können Sie das Fenster von der Standardgröße von 3 zulässigen Codes (ein vorheriger Code, der aktuelle Code, der nächste Code) auf 17 zulässige Codes (die 8 vorherigen Codes, der aktuelle Code und die 8 nächsten Codes). Dies ermöglicht einen Zeitversatz von bis zu 4 Minuten zwischen Client und Server. Willst du das tun?? (j/n) j   [Geben Sie hier 'y' ein]
Wenn der Computer, bei dem Sie sich anmelden, nicht gegen Brute-Force-Anmeldeversuche geschützt ist, können Sie die Ratenbegrenzung für das Authentifizierungsmodul aktivieren. Standardmäßig werden Angreifer dadurch auf nicht mehr als 3 Anmeldeversuche alle 30 Sekunden beschränkt. Möchten Sie die Ratenbegrenzung aktivieren?? (j/n) j   [Geben Sie hier 'y' ein]

Schritt 7. Öffnen Sie nun die Datei sshd_config mit einem beliebigen Editor

$ sudo vi /etc/ssh/sshd_config

und führen Sie die folgenden Schritte aus:

  1. Entkommentieren und setzen Sie die PasswortAuthentifizierung zu ja.
  2. Entkommentieren und setzen Sie die HerausforderungAntwortAuthentifizierung zu ja.
  3. Entkommentieren und setzen Sie die VerwendenPAM zu ja.

Speichern und schließen Sie die Datei.

Schritt 8. Als nächstes öffnen Sie /etc/pam.d/sshd-Datei

$ sudo vi /etc/pam.d/sshd

und fügen Sie die folgenden Zeilen unter die Zeile 'auth-Substack-Passwort auth:

Authentifizierung erforderlich pam_google_authenticator.so

Schritt 9. Starten und aktivieren Sie den SSH-Dienst auf dem Fedora-Server mit dem Befehl:

$ sudo systemctl start sshd
$ sudo systemctl sshd aktivieren

Alle Schritte zur Konfiguration des Servers sind nun abgeschlossen. Wir werden jetzt zu unserem Client-Rechner wechseln, d.e., Xubuntu, in unserem Fall.

Schritt 10. Versuchen Sie nun, sich mit SSH von der Xubuntu-Maschine beim Fedora 30-Server anzumelden:

$ ssh [email protected]

Wie Sie sehen, fragt SSH zuerst nach dem Passwort des Servers und dann nach einem Bestätigungscode von Ihrem Mobilgerät mobile. Nachdem Sie den Verifizierungscode korrekt eingegeben haben, können Sie sich beim entfernten Fedora-Server anmelden.

Fazit

Herzlichen Glückwunsch, wir haben den SSH-Zugriff mit Zwei-Faktor-Authentifizierung unter Fedora 30 OS erfolgreich konfiguriert. Sie können SSH weiter so konfigurieren, dass nur ein Bestätigungscode verwendet wird, um sich ohne das Kennwort des Remote-Servers anzumelden.

Linker Mausklick funktioniert nicht unter Windows 10
Wenn Sie eine dedizierte Maus mit Ihrem Laptop oder Desktop-Computer verwenden, aber die linker Mausklick funktioniert nicht unter Windows 10/8/7 aus ...
Cursor springt oder bewegt sich zufällig während der Eingabe in Windows 10
Wenn Sie feststellen, dass Ihr Mauszeiger während der Eingabe auf einem Windows-Laptop oder -Computer automatisch und zufällig springt oder sich von s...
So kehren Sie die Scrollrichtung von Maus und Touchpads in Windows 10 um
Maus und Touchpads machen das Rechnen nicht nur einfach, sondern auch effizienter und weniger zeitaufwendig. Wir können uns ein Leben ohne diese Gerät...