Two-step-verification

ورود ۲ مرحله‌ای به سرور مجازی 🤔

.There were 2589 failed login attempts since the last successful login
با متن بالا حتما برخورد داشته‌اید، درخواست هایی ناموفق کرکر ها برای ورود به سرور شما! آیا سرور های کرک شده را دیده اید ؟ یا سرور شما فعالیت مشکوکی مانند Mining , Spam و .. داشته !؟

در این مقاله با هم تلاش میکنیم تا امنیت سرور ssh را بهبود بخشیم، در ابتدای کار باید ماجول PAM مربوط Google authenticator را نصب کنیم.


sudo apt install libpam-google-authenticator

پس از نصب،‌برای راه‌اندازی نرم افزار ( در هر کاربر) کامند google- authenticator را اجرا کنید،‌ سوالاتی از شما پرسیده خواهد شد :

Do you want authentication tokens to be time-based (y/n)

میتوان به دو حالت استفاده از authenticator اشاره کرد، ۱, Time-based و ۲, sequential-based که روش Time-based ایمن تر و پسورد ها در مدت زمان مشخصی تغییر خواهند کرد. بنابراین این سوال را با y پاسخ دهد.

Do you want me to update your “~/.google_authenticator” file (y/n)

از شما میخواهد تایید کنید که فایل کلید شما ساخته شود، اگر n را ارسال کنید نرم افزار متوقف و خارج خواهد شد .

Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n)

در راستای بهبود امنیت،‌از شما می‌پرسد آیا میخواهید استفاده همزمان چند کاربر از یک توکن را محدود کنید ؟ که پاسخ شما y است .

If the computer that you are logging into isn’t hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting (y/n)

سوال دیگری که از شما پرسیده خواهد شد،‌آیا مایل هستید تلاش های نا موفق برای ورود را به ۳ مرتبه محدود کنید ؟

  گرچه توصیه ما پاسخ مثبت به این سوال است،‌ اما استفاده از نرم افزار های جانبی و مخصوص این‌کار مانند Fail2Ban استفاده کنید . 

  در نهایت Secret Code را در نرم افزار google authenticator وارد کنید .

فایا کانفیگ ماجول امنیتی PAM را ویرایش کنید و خط زیر را به انتهای فایل اضافه کنید :

auth required pam_google_authenticator.so

همچنین در کانفیگ سرویس SSH مقدار  ChallengeResponseAuthentication را برابر yes قرار داده و سرویس ssh را راه‌اندازی مجدد کنید .

دیدگاه‌ خود را بنویسید