আমি অন্য একটি ফ্যাক্টর যুক্ত করে আমার এসএসএইচ লগিনগুলির প্রমাণীকরণকে আরও শক্তিশালী করতে চাই: একটি পাসকোড জেনারেটর ডিভাইস, বা আমার মোবাইল ফোনে একটি পাসকোড জেনারেশন অ্যাপ্লিকেশন। ডিফল্ট সেটআপের একমাত্র সুস্পষ্ট বিকল্প হ'ল একটি নির্দিষ্ট পাসওয়ার্ড এবং কী জুড়ি। কিভাবে আমি এটি করতে পারব?
(যদি আমি একটি পাসওয়ার্ড প্লাস এবং একটি পাসকোড জেনারেটর ব্যবহার করি তবে এটি দ্বি-গুণক প্রমাণীকরণ সরবরাহ করে (2 এফএ): পাসওয়ার্ডটি "আমি যা জানি", এবং পাসকোডটি "আমার কাছে যা আছে"))
উত্তর:
এটি করার একটি উপায় হ'ল গুগল কর্তৃক প্রদত্ত একটি সরঞ্জাম যা গুগল প্রমাণীকরণকারী ।
Libpam-google-প্রমাণীকরণকারী ইনস্টল করুন
sudo apt-get install libpam-google-authenticator/etc/pam.d/sshdমডিউলটি অন্তর্ভুক্ত করতে সম্পাদনা করুন :
sudoedit /etc/pam.d/sshdএবং তারপরে ফাইলের শীর্ষে এই লাইনটি অন্তর্ভুক্ত করুন এবং সংরক্ষণ করুন:
auth required pam_google_authenticator.so
চ্যালেঞ্জটি চালু করতে আপনার এসএসএইচ কনফিগারেশন ফাইলটি সম্পাদনা করুন:
sudoedit /etc/ssh/sshd_config এবং তারপরে প্রতিক্রিয়া প্রমাণীকরণটি পরিবর্তন করুন:
ChallengeResponseAuthentication no
প্রতি
ChallengeResponseAuthentication yes
এবং তারপরে ফাইলটি সংরক্ষণ করুন।
sudo restart ssh এসএসএইচ পুনরায় চালু করতে
চালান google-authenticator
অন্য ডিভাইসে প্রমাণীকরণ কোড পাওয়ার জন্য আপনার এর একটির প্রয়োজন হবে।
নোট করুন যে একক-ব্যবহার পাসকোডগুলির সাথে একটি পাসওয়ার্ড সংযুক্তি হ'ল দ্বি-ফ্যাক্টর প্রমাণীকরণ: এটি "আপনার যা আছে" (পাসওয়ার্ড জেনারেটর ডিভাইস) সাথে "আপনি কী জানেন" (একটি পাসওয়ার্ড) একত্রিত করে। অন্যদিকে, আপনি যদি কোনও এসএসএইচ কী জুটির সাথে একক-ব্যবহারের পাসকোডগুলি একত্রিত করেন তবে এটি আপনার "আপনার কাছে" সমস্ত কিছুই। যখন দুটি প্রমাণীকরণের উপাদানগুলি একই ধরণের হয়, আপনার দ্বি-ফ্যাক্টর প্রমাণীকরণ নেই; এটিকে কখনও কখনও "দেড়-ফ্যাক্টর প্রমাণীকরণ" বলা হয়।
গুগল প্রমাণীকরণকারী আপনার ব্যক্তিগত সার্ভারের জন্য ভাল তবে আপনি দেখতে পাবেন যে এটি আপনার বিদ্যমান পরিচয় অবকাঠামোর সাথে ভালভাবে বাঁধা না। আপনি যদি অন্য বিকল্পগুলি অন্বেষণ করতে চান তবে রেডিয়াসকে একটি প্রমাণীকরণ প্রোটোকল এবং পাম-ব্যাসার্ধ প্লাগইন হিসাবে ব্যবহার করার বিষয়ে ভাবেন। সমস্ত এন্টারপ্রাইজ-ভিত্তিক দ্বি-ফ্যাক্টর প্রমাণীকরণ সিস্টেম ব্যাসার্ধকে সমর্থন করে। উবুন্টুতে পাম-ব্যাসার্ধের মাধ্যমে কীভাবে ওয়াইকিআইডি দ্বি-গুণক প্রমাণীকরণ যুক্ত করতে হয় সে সম্পর্কে আমরা একটি ডক লিখেছি ।
ব্যাসার্ধ ব্যবহার আপনাকে একই প্রমাণীকরণের সার্ভারে এসএসএইচ ছাড়াও অন্যান্য সিস্টেমে টাই করতে দেয়। আপনি প্রমাণীকরণের মাধ্যমে অনুমোদনের পৃথককরণের জন্য এলডিএপ এবং তারপরে আপনার 2 এফএ সার্ভারে ফ্রিডিয়াসের মাধ্যমে প্রমাণীকরণের অনুরোধগুলিও রুট করতে পারেন। আপনি AD বিটিডাব্লু দিয়ে একই কাজ করতে পারেন।
আমি নিম্নলিখিত লাইন লাগাতে সবাই চালনা করা নীচে উপরে এবং না এর /etc/pam.d/sshdহিসাবে পূর্বে (বর্তমান সংশোধন) উপরে বর্ণিত:
auth required pam_google_authenticator.so
অন্যথায় আপনার সিস্টেমটি আপনার পাসওয়ার্ডের উপর আক্রমণাত্মক আক্রমণ আক্রমণ করার জন্য উন্মুক্ত থাকবে , দ্বি-ফ্যাক্টর প্রমাণীকরণের প্রথম অংশটি: আপনার পাসওয়ার্ডকে সংযুক্ত করে।
আপনাকে প্রথমে আপনার যাচাইকরণ কোডের জন্য জিজ্ঞাসা করা হবে এবং তারপরে আপনার পাসওয়ার্ড (কোডটি সঠিক ছিল কিনা তা বিবেচনা না করে)। উভয়টি একটিতে ভুল হলে আপনাকে আবার দুটি প্রবেশ করতে হবে। আপনি এটিকে অন্য উপায়ে কনফিগার করতে পারেন তবে বর্তমান ডিফল্ট উবুন্টু (15.04) sshd কনফিগারেশনে বর্ণনা করা কিছুটা জটিল পরিবর্তন।
কেন এটি প্রয়োজন তার বিশদগুলির জন্য, এই সমস্যাটি দেখুন: