點擊右邊

在Fedora上為SSH配置真人娛樂城評價 雙因子驗證

天天好像都有一個寧靜漏洞的消息報導,說咱們的數據會是以而存在危害。絕管 SSH 是一種遙程毗鄰體系的寧靜方式,但你依然可以使它更寧靜。本文將向你鋪示若何做到這一點。
此時雙因子驗證two-factor authentication(2FA)就有效武之地了。縱然你禁用暗碼并只許可使用公鑰以及私地下539玩法鑰進行 SSH 毗鄰,但若是未經受權的用戶偷盜了你的密鑰,他依然可以借此走訪體系。
使用雙因子驗證,,你不克不及僅僅使用 SSH 密鑰毗鄰到服務器,你還必要供應手機上的驗證器運用法式隨機天生的數字。
本文鋪示的要領是基于時間的一次性暗碼Time-based One-time Pass大樂透開獎號碼word(TOTP)算法。Google Authenticator 用作服務器539二三四星連碰多少錢運用法式。默許環境下,Google Authenticator 在 Fedora 中是可用的。
至于手機,你可以使用與 TOTP 兼容的任何可以雙路驗證的運用法式。Andorid 或者 iOS 有很多可以與 TOTP 以及 Google Authenticator 共同使用的收費運用法式。本文與 FreeOTP 為例。

裝置并配置 Google Authenticator

起首,在你的服務器上裝置 Google Authenticator。 $ sudo dnf install -y google-authenticator
運轉運用法式:

  1. $偏財運2020偏財運八字 google-authenticator

該運用法式供應了一系列成績。上面的片斷鋪示了若何進行合理的寧靜配置:

  1. Do you want authentication tokens to be time-based (y/n) y
  2. Do you want me to update your "/home/user/.google_authenticator" file (y/n)? y

這個運用法式為你供應一個密鑰、驗證碼以及規復碼。把它們放在寧靜之處。若是你丟掉了手機,規復碼是走訪服務器的獨一方式。

配置手機驗證

在你的手機上裝置驗證器運用法式(Free麻將王換現金OTP)。若是你有一臺安卓手機,那末你可以在 Google Play 中找到它,也能夠在蘋果 iPhone 的 iTunes 商鋪中找到它。
Google Authenticator 會在屏幕上顯示一個二維碼。關上手機上的 FreeOTP 運用法式,選擇增添新賬戶,在運用法式頂部選擇二維碼外形對象,然后掃描二維碼即可。配置實現后,在每次遙程毗鄰服務器時,你必需供應驗證器運用法式天生的隨機數。

實現設置

運用法式會向你扣問更多的成績。上面示例鋪示了若何配置合理的寧靜設置。

  1. Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n) y
  2. By default, tokens are good for 30 seconds. In order to compensate for possible time-skew between the client and the server, we allow an extra token before and after the current time. If you experience problems with poor time synchronization, you can increase the window from its default size of +-1min (window size of 3) to about +-4min (window size of 17 acceptable tokens).
  3. Do you want to do so? (y/n) n
  4. If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s.
  5. Do you want to enable rate-limiting (y/n) y

目前,你必需配置 SSH 來行使新的雙路驗證。

設置 SSH

在實現此步調之前,確保你已經使用公鑰確立了一個可用的 SSH 毗鄰,由于咱們將禁用暗碼毗鄰。若是浮現成績或者過錯,一個已經經確立的毗鄰將許可你修復成績。
在你的服務器上,使用 sudo 編纂 /etc/pam.d/sshd 文件。

  1. $ sudo vi /etc/pam.d/ssh

正文失 auth substack password-auth 這一行:

  1. #auth       substack     password-auth

將如下行增添到文件底部:

  1. auth sufficient pam_google_authenticator.so

保管并封閉文件。然后編纂 /etc/ssh/sshd_config 文件:

  1. $ sudo vi /etc/ssh/sshd_config

找到 ChallengeResponseAuthentication 這一行并將其變動為 yes

  1. ChallengeResponseAuthentication yes

找到 539領獎PasswordAuthentication 這一行并將其變動為 no

  1. PasswordAuthentication no

【免責聲明】本站內容轉載自互聯網,其相關談吐僅代表作者小我私家概念盡非權勢巨子,不代表本站態度。如您發明內容存在版權成績,請提交相關鏈接至郵箱:,咱們將實時予以處置。