معلومات سرية؟ استخدم 2FA لـ VPS / VDS

صورة



السؤال المتكرر هو كيفية حماية خادم VPS / الخادم المخصص بشكل موثوق من القرصنة؟ لذلك قررت أن أكتب برنامجًا تعليميًا حول كيفية تنفيذ المصادقة ذات العاملين.



2FA هو المستوى الثاني لحماية البيانات ، وبفضله لا يمكنك الوصول إلى حسابك إلا بعد تأكيد هويتك. الآن ، حتى إذا كان المهاجم يعرف اسم المستخدم وكلمة المرور ، فبفضل المصادقة الثنائية ، لن يتمكن من الوصول إلى الخادم الخاص بك.



يقلل وجود المصادقة الثنائية من احتمال وصول المهاجمين إلى الحساب إلى الصفر تقريبًا ، مما يضمن سلامة بيانات المستخدم.



إذا كنت لا تزال مقتنعًا أنه من خلال الخروج بكلمة مرور معقدة ، فإنك تضمن حماية الخادم الخاص بك من القرصنة ، وجميع البيانات الشخصية من السرقة ، فأنت مخطئ بشدة. اليوم ، يستخدم المتسللون عددًا هائلاً من الأساليب لفرض حتى أكثر كلمات المرور تعقيدًا بسرعة ، لذا فإن المصادقة الثنائية هي أهم إجراء أمني لا ينبغي إهماله.



صورة



نلتقط الهاتف ونقوم بتهيئة تطبيق المصادقة. هذا سهل بما فيه الكفاية. يمكن استخدام برامج مختلفة ، لكنني أوصي بمصادقة Twilio Authy 2-Factor Authentication.



يمكنك تنزيله على هذا الرابط:https://play.google.com/store/apps/details؟id=com.authy.authy&hl=ru .



الموقع الرسمي للبرنامج: authy.com



ميزة Twilio Authy 2-Factor Authentication هي القدرة على العمل على عدة أجهزة في وقت واحد ، حتى على سطح المكتب أو الكمبيوتر المحمول. Google Authenticator ليس لديه هذا الخيار. إذا فقدت هاتفك الذكي فجأة ، فسوف تحفظ جميع بياناتك للوصول إلى الحسابات.



قم بتثبيت التطبيق من Google Play وتشغيله. سيطلب منك النظام بعد ذلك إدخال رمز البلد ورقم الهاتف. تأكد من تضمين رقم الهاتف الذي يمكنك الوصول إليه. أيضًا ، لا تنس إدخال بريدك الإلكتروني.



صورة



الخطوة التالية هي التأكيد. اختر الطريقة الأكثر ملاءمة لك - تلقي رسالة SMS أو الرد على مكالمة.



يجب تثبيت حزمة المصادقة على النظام. يتم ذلك على النحو التالي:

لـ Debian 9/10:



root@alexhost:~# apt install libpam-google-authenticator - y


بالنسبة إلى CentOS ، أولاً وقبل كل شيء ، ستحتاج إلى توصيل مستودع epel:



root@alexhost:~# yum install epel-release


عندها فقط يمكن تثبيت الحزمة:



root@alexhost:~# yum install google-authenticator


في المرحلة التالية ، قم بتشغيل:



root@alexhost:~# google-authenticator


سيطرح النظام السؤال التالي: هل تريد أن تكون رموز المصادقة مستندة إلى الوقت (نعم / لا . أجب ص ، لأن هذا الخيار هو الأكثر موثوقية.



صورة



على السؤال "هل تريد مني تحديث ملف" /root/.google_authenticator "؟ ( y / n) " نجيب y .



على السؤال " هل تريد عدم السماح باستخدامات متعددة لرمز المصادقة نفسه؟ هذا يقيدك بتسجيل الدخول مرة واحدة كل 30 ثانية ، ولكنه يزيد من فرصك في ملاحظة أو حتى منع الرجل في الهجمات المتوسطة (نعم / لا) " نجيب بناءً على مدى اهتمامك بالأمن وعلى استعداد للتضحية بالراحة من أجله.



الحقيقة هي أنه لا يمكنك تسجيل الدخول باستخدام المصادقة أكثر من مرة واحدة كل 30 ثانية. ليست مريحة للغاية ، لكنها بالتأكيد أكثر أمانًا.



ثم لدينا سؤال آخر:"بشكل افتراضي ، يتم إنشاء رمز جديد كل 30 ثانية بواسطة تطبيق الهاتف المحمول. للتعويض عن الانحراف الزمني المحتمل بين العميل والخادم ، نسمح برمز إضافي قبل الوقت الحالي وبعده. يتيح ذلك انحرافًا زمنيًا يصل إلى 30 ثانية بين خادم المصادقة والعميل. إذا كنت تواجه مشكلات في تزامن الوقت الضعيف ، فيمكنك زيادة النافذة من حجمها الافتراضي المكون من 3 رموز مسموح بها (رمز سابق واحد ، الرمز الحالي ، الرمز التالي) إلى 17 رمزًا مسموحًا به (الرموز الثمانية السابقة ، الرمز الحالي ، و الرموز الثمانية التالية). سيسمح هذا بانحراف زمني يصل إلى 4 دقائق بين العميل والخادم. هل تريد ان تفعل ذلك؟ (y / n) " إجابة y



السؤال التالي:"إذا لم يتم تعزيز الكمبيوتر الذي تقوم بتسجيل الدخول إليه ضد محاولات تسجيل الدخول باستخدام القوة الغاشمة ، فيمكنك تمكين تحديد المعدل لوحدة المصادقة. بشكل افتراضي ، يحد هذا من المهاجمين بما لا يزيد عن 3 محاولات تسجيل دخول كل 30 ثانية ” .



مرة أخرى ، انظر إلى أيهما أكثر أهمية بالنسبة لك - الراحة أو الأمان. لا توجد إجابة واحدة صحيحة ، كل هذا يتوقف على ما تفضله. إذا أجبت بـ y ، فسيسمح النظام بحد أقصى 3 محاولات تسجيل خلال 30 ثانية.



صورة



الشيء التالي الذي يتعين عليك القيام به هو النقر فوق + في تطبيق المصادقة ومسح كود qr المقترح في الجهاز



صورة



الطرفي.ثم تحتاج إلى تعيين كلمة مرور أمان للنسخ الاحتياطية ، والتي ستتألف من 6 أحرف على الأقل. بالطبع ، يتم حفظ جميع الحسابات المضافة إلى التطبيق في السحابة.

احفظ حسابك تحت أي اسم تريده



صورة



! تذكر أن تكتب رموز الطوارئ. في حالتنا ، هذه هي:

رموز خدش الطوارئ الخاصة بك هي:

13455461

88816366

91315051

48752467

40022285




root@alexhost:~# nano /etc/pam.d/sshd


في نهاية الملف ، ستحتاج إلى إضافة "المصادقة المطلوبة pam_google_authenticator.so"

احفظ الملف Ctrl + O ثم اضغط على Enter.

خروج من المحرر بالضغط على Ctrl + X في نفس الوقت.

بالمناسبة ، يمكنك استخدام محرر نصوص آخر دون أي مشاكل. أنت لا تحتاج إلى استخدام نانو على الإطلاق



صورة



والشيء التالي القيام به:



"جذر @ alexhost: ~ # نانو / الخ / سه / sshd_config" استبدال "ChallengeResponseAuthentication لا" مع "نعم ChallengeResponseAuthentication"

مما لا شك فيه أن تضيف "AuthenticationMethods لوحة المفاتيح التفاعلية" في نهاية الملف

برس اضغط على Ctrl + O واحفظ الملف ، ثم أدخل

خروج من المحرر Ctrl + X



صورة



في إحدى الخطوات الأخيرة ، ستحتاج إلى إعادة تشغيل خدمة ssh:



root@alexhost:~# systemctl restart sshd


نحن نتواصل. يطلب النظام أولاً كلمة مرور ، ثم مفتاح عاملين.



صورة



هذا كل شيء - تهانينا ، تم الانتهاء من الإعداد بنجاح!




قليلا من الدعاية



1.5 غيغابايت من ذاكرة الوصول العشوائي / 1 Core / قرص SSD بسعة 10 غيغابايت - 4 يورو في الشهر أو 11.88 يورو في السنة!

4 غيغابايت من ذاكرة الوصول العشوائي / 2 Core / قرص SSD بسعة 40 غيغابايت - 10 يورو في الشهر أو 60 يورو في السنة!

8GB RAM / 4 Cores / 80GB SSD disk - من 16 يورو في الشهر أو 144 يورو في السنة!

هنا - AlexHost.com




All Articles