Yanıtlar:
Not: Bir kullanıcı için 2 faktörlü kimlik doğrulamayı etkinleştirdikten ve kök için aynı ayarı yapmadığınızda, asla doğrudan kök olarak Giriş yapamazsınız. Böyle bir durumda, yolunu ayarladığımız diğer sudo kullanıcılarını kullanmak ve daha sonra sudo su -
kök kullanıcıya geçmek için kullanmaktır .
Ayarlamak için aşağıdaki adımları kullanın.
PAM kimlik doğrulaması ile eklenti olarak kullanacağımız Google kimlik doğrulayıcısını yüklemek için aşağıdaki paketi yükleyin:
sudo apt-get install libpam-google-authenticator
Şimdi /etc/pam.d/sshd
bu dosyayı düzenleyin ve Google Şifrematik'i aşağıda belirtildiği şekilde ekleyin:
*sudo vim /etc/pam.d/sshd
bu dosyanın en altına aşağıya girin-
auth required pam_google_authenticator.so
Burada, /etc/ssh/sshd_config
ssh'ın Google Şifrematik'i kullanmasını sağlamak için değişiklikler yapmak zorundayız , bu şekilde ssh'ın iki faktörlü kimlik doğrulamayı kullanmasını sağlıyoruz.
vim /etc/ssh/sshd_config
Bu dosyada, ChallengeResponseAuthentication
aşağıdaki gibi görünmesi için bulmamız ve açmamız ve / veya değiştirmemiz gerekiyor (kısaca evet olarak ayarlayın: P):
ChallengeResponseAuthentication yes
Ekstra veya GUI 2 faktörlü kimlik doğrulaması bunu atlayın ve 4. adıma gidin: GUI girişi için etkinleştirmek üzere şunu düzenleyin /etc/pam.d/common-auth
:
sudo vim /etc/pam.d/common-auth
ve şimdi bunu auth required pam_google_authenticator.so
satırın üstüne ekleyin auth [success=1 default=ignore] pam_unix.so nullok_secure
ve dosyayı kaydedin.
Şimdi kurmak istediğiniz bir hesaba geçin.
( Not: Sistemde kök hesap dışında en az iki süper kullanıcı hesabı oluşturmanızı ve en azından bir tanesi için kök hesap için değil, en azından yapılandırmanızı öneririm.)
sudo su - testuser1
Şimdi bunun için iki faktörlü kimlik doğrulamayı ayarlamak için aşağıdaki komutu kullanacağız testuser1
:
google-authenticator
Bu komutu çalıştırmak size aşağıdaki soruyu soracaktır. (önerilen cevap Evet)
Kimlik doğrulama simgelerinin zamana dayalı olmasını istiyor musunuz (y / n) y
Bundan sonra size QR kodu ve Acil Durum Kodları ve diğer birkaç ayrıntı gösterilecektir. Dışarı koymak verilen görüntü aşağıdaki gibi görünmelidir:
Şimdi Google Authenticator Uygulamasını ilgili pazar yerlerinden örneğin Google Play Store'dan indirmek ve yüklemek için Android / Apple / Blackberry telefonunuzu kullanmanız gerekiyor . bu da giriş yapmanız için kod üretecektir.
Aşağıda uygulama Simgesinin ekran görüntüsü ve uygulama Android telefonundan alınan uygulama bulunmaktadır.
Uygulamayı telefonunuzda başlatın ve QR Kodunu tarayın veya yukarıdaki ilk ekran görüntüsünde de görebileceğiniz gizli anahtarı ve sistemdeki QR kodunun altında verilen doğrulama kodunu kullanın .
Tüm bunlar yapıldıktan sonra , acil durum kodlarınızı güvenli bir yere not etmek ve kaydetmek çok önemlidir , çünkü bunlar bir şekilde kilitlenmeniz durumunda size yardımcı olabilecek kodlardır.
Bu noktada, ekranın alt kısmına, size aşağıdaki soruyu soran bir yere bakmalısınız. (önerilen cevap Evet):
"/Home/testuser1/.google_authenticator" dosyanızı güncellememi istiyor musunuz (y / n) y
Yine size bir soru daha soracaktır ve aşağıdaki soru için önerilen cevap da Evet:
Aynı kimlik doğrulama belirtecinin birden çok kullanımına izin vermek istiyor musunuz? Bu, her 30 saniyede bir giriş yapmanızı kısıtlar, ancak ortadaki adam saldırılarını fark etme veya hatta engelleme şansınızı artırır (y / n) y
Sonraki soru aşağıda verildiği gibi olacaktır ve bunun için önerilen cevap Hayır:
Varsayılan olarak, jetonlar 30 saniye boyunca iyidir ve istemci ve sunucu arasındaki olası zaman eğriliğini telafi etmek için, geçerli saatten önce ve sonra ekstra bir jetona izin veririz. Zayıf zaman senkronizasyonu ile ilgili sorunlar yaşıyorsanız, pencereyi varsayılan boyut olan 1: 30 dakikadan yaklaşık 4 dakikaya yükseltebilirsiniz. Bunu yapmak istiyor musun (y / n) n
Ve son soru aşağıda verildiği gibi ve bunun için önerilen cevap Evet:
Giriş yaptığınız bilgisayar kaba-kuvvetli giriş denemelerine karşı sertleştirilmiş değilse, kimlik doğrulama modülü için hız sınırlamayı etkinleştirebilirsiniz. Varsayılan olarak, bu saldırganları her 30 saniyede en fazla 3 giriş denemesiyle sınırlar. Hız sınırlamayı etkinleştirmek istiyor musunuz (y / n) y
Şimdi kök hesaba geri dönmek için bu hesaptan çıkın:
exit
Şimdi ssh hizmetini yeniden başlatın
service ssh restart
Şimdi, ayarladığınız kullanıcı için bir ssh oturumu alın ve önce cep telefonunuzdan girebileceğiniz bir doğrulama kodu isteyecek ve daha sonra bir kullanıcı şifresi isteyecektir.
İki faktörlü kimlik doğrulamayı ayarlamak için gereken her şey budur. Lütfen gerektiğinde cevabı geliştirmekten çekinmeyin ve iyi olmayan bir dil için lütfen özür dilerim.
auth optional
yerine makineye erişimi kaybetmemek daha güvenli olacaktır auth required
. Aksi takdirde , oturum çökerse ve işlem tamamlanmazsa oturum açmak artık mümkün değildir.