SSH nasıl 2-faktörlü doğrulama ile korunur? (Two-Factor Authentication)

authenticatorBu yazımda, Ubuntu SSH bağlantılarımızda Google Authenticator PAM modülü ile nasıl 2-faktörlü (2-step verification) hesap doğurlaması yapılır bunu inceleyeceğiz.

Kullanıcı adı ve şifrelerin güvenliğini sağlamak bilişim uzmanları için bile zaman zaman pek mümkün olmuyor. Ele geçirilen sunucu sistemlerinde kayıtlı binlerce hesap tek seferde çalınabiliyor. Zararlı yazılım yüklü bilgisayarlardan giriş yapmak, kötü niyetli yazılımlara hesap bilgilerini girmeniz hesabınızın çalınması ile sonuçlanabilir. İşin kötü tarafı, yıllarca hesabınızın çalındığından haberdar olmadan hesabınızı kullanmaya devam ediyor olabilirsiniz.

Hesap güvenliğimizi bir adım ileri götürerek SSH bağlantılarımıza 2 adımlı giriş nasıl entegre edilir inceleyelim;

Google Authenticator uygulamasını akıllı telefonunuza yükledikten sonra yapılacak basit bir aktivasyon işleminin ardından, ssh bağlantısı kurarken önce doğrulama kodunu telefonunuzdan öğrenerek kullanmanız gerekecek. DİKKAT; Authenticator hangi kullanıcı için aktif edildiyse sonraki işlemlerde sadece o kullanıcı SSH ile erişim sağlayabilir.

1.Adım;

Öncelikle akıllı telefonunuza Google Authenticator’ü yükleyin. Sonrasında sunucunuza bağlanarak aşağıdaki adımları tamamlayın;

sudo apt-get install libpam-google-authenticator

libqrencode3 otomatik olarak yüklenecek ve qr-code üreterek aktivasyon işlemini kolaylaştıracak.

2.Adım;

auth required pam_google_authenticator.so

yukarıdaki satırı aşağıdaki dosyanın başına ekleyin.

nano /etc/pam.d/sshd

aşağıdaki dosyada;

nano /etc/ssh/sshd_config

ilgili satırı bulup aşağıdaki gibi değiştirin,

ChallengeResponseAuthentication yes

3.Adım;

Şimdi cep telefonundaki uygulamayı aktifleştirelim; 2-faktör doğrulamalı kullanacağınız hesaba geçin ve aşağıdaki komutu çalıştırın,

google-authenticator

sorulan sorulara ihtiyaçlarınıza göre yanıt verdikten sonra ekranda kocaman bir qr-code oluşacak. Buradaki qr-code’u okutarak yada “secret key” yardımıyla cep telefonuzdaki Authenticator uygulamasını etkinleştirin.

Oluşabilecek terslikler için “emergency scratch codes” satırlarını biryere not edin. Buradaki kodlar tek kullanımlıktır. Console erişiminde tüm kullanıcılar 2-faktöre gerek kalmadan giriş yapabiliyor, bu yüzden bu kodları kaybetseniz dahi sorun değil.

sudo services ssh restart

İşlemi tamamladık, SSH sunucunuz 2-faktör doğrulamaya sahip. Public-key ile bağlantılarda ek doğrulama gerekmeyecek, bu da güzel yönlerinden.



Bir cevap yazın

(gerekli)