আমি এসএসএইচের জন্য পাসওয়ার্ড-ভিত্তিক লগইনগুলি সরিয়ে দেখছি। তবে, আমি পাসওয়ার্ডহীন ssh কীগুলিকে অনুমতি দিতে চাই না, কারণ এটি আরও খারাপ হবে।
আমি কীভাবে নিশ্চিত করতে পারি যে পাসওয়ার্ড রয়েছে এমন কেবল এসএসএইচ কীই সংযোগ করতে পারে?
যদি এটি করা না যায় তবে কী বিকল্প আছে যেমন কেন্দ্রীয়ভাবে এসএসএইচ কী প্রজন্ম পরিচালনা করা এবং ব্যবহারকারীদের উত্পাদন এবং / অথবা তাদের নিজস্ব কীগুলি ব্যবহার করা থেকে বিরত রাখা? আমি মনে করি পিকেআই এর মতো কিছু আছে।
উত্তর:
ব্যক্তিগত কীতে সেট করা যেতে পারে এমন পাসফ্রেজটি এসএসএইচ সার্ভার বা এর সাথে সংযোগের সাথে সম্পর্কিত নয়। ব্যক্তিগত কীতে একটি পাসফ্রেজ সেট করা কেবল ব্যক্তিগত কীটি চুরি হয়ে যাওয়ার ক্ষেত্রে তৃতীয় পক্ষের দ্বারা তার রিমোট শেলটি অ্যাক্সেস রোধ করতে কী মালিকটি গ্রহণ করতে পারে এমন একটি সুরক্ষা ব্যবস্থা মাত্র।
দুর্ভাগ্যক্রমে, আপনি ব্যবহারকারীদের তাদের ব্যক্তিগত কীগুলি পাসফ্রেসের সাহায্যে সুরক্ষিত করতে বাধ্য করতে পারবেন না। কখনও কখনও, রিমোট এসএসএইচ সার্ভারটিতে অটোমেটিক স্বয়ংক্রিয়ভাবে চালানোর জন্য সুরক্ষিত ব্যক্তিগত কীগুলির প্রয়োজন হয় are এক ভালো অভ্যাসও আমি অত্যন্ত সুপারিশ এই ক্ষেত্রে জন্য ব্যবহারকারীদের পরামর্শ হয় হ্যাশ known_hosts ফাইল (সংরক্ষিত ~ / .ssh / known_hosts ), যা ব্যবহারকারী সংযোগ স্থাপন করে দূরবর্তী হোস্ট সম্পর্কে তথ্য রাখে, নিম্নোক্ত কমান্ড ব্যবহার করে:
ssh-keygen -H -f ~/.ssh/known_hosts
এইভাবে, এমনকি যদি কোনও তৃতীয় পক্ষ কোনও সুরক্ষিত ব্যক্তিগত কীতে অ্যাক্সেস অর্জন করে, তবে এটি দূরবর্তী হোস্টগুলির জন্য কীটি বৈধ কিনা তা খুঁজে পাওয়া অত্যন্ত কঠিন difficult অবশ্যই, এই কৌশলটির কোনও মূল্য হওয়া উচিত শেল ইতিহাস সাফ করা বাধ্যতামূলক।
এছাড়াও, অন্য একটি জিনিস যা আপনার সর্বদা মনে রাখা উচিত, তা আপনার এসএসএইচ সার্ভারের কনফিগারেশন (sshd_config) এ নিম্নলিখিতগুলি যোগ করে রুটকে দূর থেকে লগইন করতে দেওয়া নয়:
PermitRootLogin no
অন্যদিকে, আপনি যদি ব্যবহারকারীদের প্রমাণীকরণের জন্য কীগুলি ব্যবহার করা থেকে বিরত রাখতে চান, তবে পরিবর্তে পাসওয়ার্ড ব্যবহার করেন, আপনার নিম্নলিখিতগুলি আপনার sshd_config এ যুক্ত করা উচিত :
PasswordAuthentication yes
PubkeyAuthentication no
ব্যবহারকারীর কীগুলির নিয়ন্ত্রণ পেতে, সমস্ত কীগুলি অবশ্যই একটি মূল মালিকানাধীন ডিরেক্টরিতে স্থানান্তরিত করতে হবে যেখানে কীগুলি পঠনযোগ্য তবে শেষ ব্যবহারকারী দ্বারা পরিবর্তনযোগ্য নয়। এটি sshd_config আপডেট করে করা যেতে পারে।
একবার কী ফাইলগুলি নিয়ন্ত্রিত স্থানে চলে গেলে আপনার প্রয়োজনীয় হোস্টগুলিতে কীগুলি বিতরণ করার পরে আপডেট করার (এবং পাসওয়ার্ড নীতি প্রয়োগ করার) জন্য একটি ম্যানেজমেন্ট ইন্টারফেসের প্রয়োজন হবে। হয় নিজেই রোল করুন বা ফক্সটি / টেকটিকা ইত্যাদির মতো পণ্যগুলি দেখুন
একটি প্রশমন হ'ল গুগল প্রমাণীকরণকারী পিএএম মডিউল প্লাগইন ব্যবহার করা। অফিসিয়াল প্যাকেজগুলির মধ্যে সাধারণত উপলব্ধ।
এটি আপনার স্মার্টফোনে 6-সংখ্যার কোডের মাধ্যমে 2FA উপলব্ধ করবে।
নির্দেশাবলী এখানে: উবুন্টু 16.04 এ এসএসএইচের জন্য মাল্টি-ফ্যাক্টর প্রমাণীকরণ কীভাবে সেট আপ করবেন
সহজ, আপনি কেবল এসএসএইচ প্রোটোকল প্রসারিত করুন যাতে মূল ব্যক্তিগত কীটি এনক্রিপ্ট করা হয়েছে কিনা (এসএসএল সার্ভার পক্ষটি এমনকি কোনও প্রশ্নও দিতে পারে) - এসএসএইচ ক্লায়েন্ট বা এসএসএইচ এজেন্ট একটি পতাকা নির্ধারণ করে / সেট করে - যেহেতু ক্লায়েন্টের পক্ষের দৃশ্যমানতা রয়েছে ব্যক্তিগত কী এবং এমনকি কীটি এনক্রিপ্ট করা থাকলে পাসফ্রেজের জন্য ইতিমধ্যে অনুরোধ জানানো হয়।