TR | SSH İçin 2 Aşamalı Doğrulama (2FA)
Sunucumuza bağlanırken güvenliğimizi arttırmak için ssh için google authenticator ile 2 aşamalı doğrulamayı kuracağız.
İlk önce google-authenticator pam modülünü kurmamız lazım ister kaynaktan (https://github.com/google/google-authenticator) ister paket yöneticisi ile kurabilirsiniz. İşimizi uzatmamak için bu yazıda paket yöneticisi ile kuruyoruz.
- Terminali açalım ve aşağıdaki komutu yazalım
sudo apt-get install libpam-google-authenticator
- Modülümüzü kurduktan sonra PAM konfigrasyon dosyamızı düzenlememiz gerekir bunun için konfigrasyon dosyasımızı herhangi bir metin düzenliyici ile açalım.
sudo nano /etc/pam.d/sshd
- Uygun bölüme google-auth ile girişin zorunlu olması için aşağıdaki satırları yazalım.
# Doğrula beni google auth required pam_google_authenticator.so
ve kaydedip çıkalım. (ctrl+o enter ctrl+x)
- Şimdi sıra geldi ssh konfigürasyonumuzu yapmaya. Konfigürasyon dosyamızı açalım.
sudo nano /etc/ssh/sshd_config ChallengeResponseAuthentication no
yazan yeri bulup bu şekilde değiştirelim
ChallengeResponseAuthentication yes
Kaydedip çıkalım
- ssh servisimizi yeniden başlatalım
/etc/init.d/ssh restart
- Sıra google doğrulayıcı ayarlarımıza geldi terminalden
google-authenticator
çalıştıralım.
Burada istersek barkod okuyucuyla gizli anahtarımızı telefona ekleyebiliriz fakat qr kod taramamız için 3.parti uygulama gerekecek o yüzden biz secret key yazan yeri bir köşeye kopyalayalım birazdan lazım olacak.
Bunun dışında 5 tane kod görüyoruz bu kodları acil durumlar için başka yere not edelim mesela telefonunuz yanınızda değilse bu kodlar sayesinde yine giriş yapabilrisiniz.
“Not: Aşağıdaki gibi onaylama işleminizi yaptıysanız kodları ev dizininize gelip gizli dosyaları göster yaptığınızda .google_authenticator dosyasındankodları görebilirsiniz ya da yine terminalden
cat .google_authenticator
yazarak görüntüleyebilirsiniz”
Gerekli yerleri kopyaladıysak soruları kendimize göre cevaplayalım. Ben hepsini “y” yazarak onayladım.
- Son aşamada telefondaki ayarlaramızı yapacağız bunun için Google Authenticator uygulamasını indirmemiz gerekli.
- Android: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
- iOS: https://itunes.apple.com/au/app/google-authenticator/id388497605?mt=8
- Uygulama hakkında daha detaylı bilgiye https://support.google.com/accounts/answer/1066447?hl=tr adresinden ulaşabilirsiniz.
Uygulamamızı açalım ve sağlanan anahtarı girin yazısını seçelim.
Şimdi yukarda kopyalamış olduğumuz secret keyimizi yazalım ve zamana dayalı olarak ekle diyelim.
Hesabımız oluşturuldu. Artık her 30 saniyede bir değişen kod alacağız üstelik bu kodları alabilmek için internet bağlantınızın olmasına gerek yok.
- Ve ssh ile bilgisayaramıza ulaşmaya çalışalım.
- Gördüğünüz gibi parolamızı yazdıktan sonra bizden doğrulama kodunu isteyecek telefonumuzdaki uygulamada çıkan kodu girerek oturumumuzu açabiliriz.
