كيفية إعداد المصادقة الثنائية (2FA) لـ SSH على دبيان 9 باستخدام Google Authenticator

هناك عدة طرق لتسجيل الدخول إلى خادم عبر SSH. تتضمن الأساليب تسجيل الدخول بكلمة المرور وتسجيل الدخول المستند إلى المفتاح والمصادقة الثنائية.

المصادقة الثنائية هي نوع أفضل من الحماية. في حالة اختراق جهاز الكمبيوتر الخاص بك ، سيظل المهاجم بحاجة إلى رمز وصول لتسجيل الدخو��.

في هذا البرنامج التعليمي ، ستتعلم كيفية إعداد المصادقة ذات العاملين على دبيان 9 باستخدام Google Authenticator و SSH.

المتطلبات الأساسية

  • خادم دبيان 9 (أو أحدث).
  • مستخدم غير جذري مع وصول sudo.
  • هاتف ذكي (Android أو iOS) مثبت عليه تطبيق Google Authenticator. يمكنك أيضًا استخدام Authy أو أي تطبيق آخر يدعم تسجيلات الدخول لكلمة المرور لمرة واحدة (TOTP).

الخطوة 1: تثبيت مكتبة Google Authenticator

نحتاج إلى تثبيت وحدة مكتبة Google Authenticator المتاحة لـ Debian ، والتي ستسمح للخادم بقراءة الرموز والتحقق منها.

sudo apt update
sudo apt install libpam-google-authenticator -y

الخطوة 2: تكوين Google Authenticator لكل مستخدم

تكوين الوحدة النمطية.

google-authenticator

بمجرد تشغيل الأمر ، سيتم سؤالك بعض الأسئلة. السؤال الأول سيكونDo you want authentication tokens to be time-based (y/n)

اضغط Yوستحصل على رمز الاستجابة السريعة والمفتاح السري ورمز التحقق والرموز الاحتياطية للطوارئ.

أخرج هاتفك وافتح تطبيق Google Authenticator. يمكنك إما مسح رمز الاستجابة السريعة أو إضافة مفتاح السر لإضافة إدخال جديد. بمجرد القيام بذلك ، لاحظ الرموز الاحتياطية واحتفظ بها في مكان ما. في حالة تلف هاتفك أو تلفه ، يمكنك استخدام هذه الرموز لتسجيل الدخول.

بالنسبة للأسئلة المتبقية ، اضغط Yعند سؤالك لتحديث .google_authenticatorالملف ، Yلعدم السماح باستخدامات متعددة لنفس الرمز ، Nلزيادة النافذة الزمنية Yولتمكين تحديد المعدل.

سيكون عليك تكرار هذه الخطوة لجميع المستخدمين على جهازك ، وإلا فلن يتمكنوا من تسجيل الدخول بمجرد الانتهاء من هذا البرنامج التعليمي.

الخطوة 3: تكوين SSH لاستخدام Google Authenticator

الآن بعد أن قام جميع المستخدمين على جهازك بإعداد تطبيق Google Authentator ، فقد حان الوقت لتكوين SSH لاستخدام طريقة المصادقة هذه على الطريقة الحالية.

أدخل الأمر التالي لتحرير sshdالملف.

sudo nano /etc/pam.d/sshd

ابحث عن الخط @include common-authوعلق عليه ، مثل ما هو موضح أدناه.

# Standard Un*x authentication.
#@include common-auth

أضف السطر التالي إلى أسفل هذا الملف.

auth required pam_google_authenticator.so

اضغط على CTRL+ Xللحفظ والخروج.

بعد ذلك ، أدخل الأمر التالي لتحرير sshd_configالملف.

sudo nano /etc/ssh/sshd_config

أوجد الحد ChallengeResponseAuthenticationوتعيين قيمته على yes. ابحث أيضًا عن المصطلح PasswordAuthentication، وقم بإلغاء تعليقه ، وقم بتغيير قيمته إلى no.

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

الخطوة التالية هي إضافة السطر التالي إلى أسفل الملف.

AuthenticationMethods publickey,keyboard-interactive

احفظ وأغلق الملف بالضغط على CTRL+ X. الآن بعد أن قمنا بتكوين خادم SSH لاستخدام Google Authenticator ، فقد حان وقت إعادة تشغيله.

sudo service ssh restart

حاول تسجيل الدخول مرة أخرى إلى الخادم. هذه المرة ستتم مطالبتك برمز Authenticator الخاص بك.

ssh user@serverip

Authenticated with partial success.
Verification code:

أدخل الرمز الذي يولده تطبيقك وسيتم تسجيل دخولك بنجاح.

ملحوظة

في حالة فقدان هاتفك ، استخدم الرموز الاحتياطية من الخطوة 2. إذا فقدت الرموز الاحتياطية ، فيمكنك دائمًا العثور عليها في .google_authenticatorالملف ضمن دليل الصفحة الرئيسية للمستخدم بعد تسجيل الدخول عبر وحدة تحكم Vultr.

استنتاج

يعمل الحصول على المصادقة ذات العاملين على تحسين أمان الخادم إلى حد كبير ويسمح لك بالمساعدة في إحباط هجمات القوة الغاشمة الشائعة.

اترك تعليقاً

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

وظائف طبقات معمارية مرجعية للبيانات الضخمة

وظائف طبقات معمارية مرجعية للبيانات الضخمة

اقرأ المدونة لمعرفة الطبقات المختلفة في بنية البيانات الضخمة ووظائفها بأبسط طريقة.

6 أشياء شديدة الجنون حول نينتندو سويتش

6 أشياء شديدة الجنون حول نينتندو سويتش

يعرف الكثير منكم أن Switch سيصدر في مارس 2017 وميزاته الجديدة. بالنسبة لأولئك الذين لا يعرفون ، قمنا بإعداد قائمة بالميزات التي تجعل "التبديل" "أداة لا غنى عنها".

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

هل تنتظر عمالقة التكنولوجيا للوفاء بوعودهم؟ تحقق من ما تبقى دون تسليم.

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

اقرأ هذا لمعرفة مدى انتشار الذكاء الاصطناعي بين الشركات الصغيرة وكيف أنه يزيد من احتمالات نموها ومنح منافسيها القدرة على التفوق.

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

مع تطور العلم بمعدل سريع ، واستلام الكثير من جهودنا ، تزداد أيضًا مخاطر تعريض أنفسنا إلى تفرد غير قابل للتفسير. اقرأ ، ماذا يمكن أن يعني التفرد بالنسبة لنا.

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

لقد أصبح حل CAPTCHA صعبًا جدًا على المستخدمين في السنوات القليلة الماضية. هل ستكون قادرة على أن تظل فعالة في اكتشاف البريد العشوائي والروبوتات في المستقبل القريب؟

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

ما هو التطبيب عن بعد والرعاية الصحية عن بعد وأثره على الأجيال القادمة؟ هل هو مكان جيد أم لا في حالة الوباء؟ اقرأ المدونة لتجد طريقة عرض!

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

ربما سمعت أن المتسللين يكسبون الكثير من المال ، لكن هل تساءلت يومًا كيف يجنون هذا النوع من المال؟ دعنا نناقش.

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

أصدرت Apple مؤخرًا macOS Catalina 10.15.4 تحديثًا تكميليًا لإصلاح المشكلات ولكن يبدو أن التحديث يتسبب في المزيد من المشكلات التي تؤدي إلى إنشاء أجهزة macOS. قراءة هذه المادة لمعرفة المزيد