-Średni Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

[Old Sessam]

Witajcie z moim pierwszym poradniku!
Ka?dy wie jak wa?ne jest bezpiecze?stwo swojego serwera. Dlatego warto wprowadzi? weryfikacje dwuetapow? do swojego serwera dedykowanego.

Co to takiego jest ta weryfikacja dwuetapowa?:

You do not have permission to view link please Log in or Register

Co ma google do naszego serwera? W?a?nie takiej samej weryfikacji dwuetapowej u?yjemy jak? u?ywa Google!

Jak to dzia?a?​

Wi?c dzi?ki weryfikacji dwuetapowej mo?esz powstrzyma? intruz?w, nawet je?li przechwyc? Twoje has?o do konta root lub innego usera serwera.

Wpisujemy sw?j login np: root, nastepnie serwer poprosi nas o KOD kt?ry generowany jest losowo co 30 sekund na naszym telefonie (musimy go przepisa? do konsoli ssh). Je?eli kod jest poprawny mo?emy wpisa? has?o do konta root i zostaniemy zalogowani!

Instalacja​

Logujemy si? na konto root swojego serwera nast?pnie:

cd /root

apt-get update

apt-get upgrade

apt-get install libpam0g-dev make wget

cd /root

wget https://google-authenticator.googlecode.com/files/libpam-google-authenticator-1.0-source.tar.bz2

tar -xvf libpam-google-authenticator-1.0-source.tar.bz2

cd libpam-google-authenticator-1.0

make

make install

nano /etc/pam.d/sshd

Dodajemy tam

auth required pam_google_authenticator.so

Zapisujemy plik i piszemy

nano /etc/ssh/sshd_config

Szukamy

ChallengeResponseAuthentication no

i zamieniamy na

ChallengeResponseAuthentication yes

/etc/init.d/ssh restart

Konfiguracja​

google-authenticator

Gdy zrobili?my wszystko poprawnie i uruchomili?my pierwszy raz google-authenticator zada nam on pare pyta?, ja odpowiedzia?em wszystko "y" bo mi to odpowiada?o Mo?ecie te? tak zrobi?. Na koniec wygeneruje nam co? takiego:

Do you want authentication tokens to be time-based (y/n) y
https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@twojhost%3Fsecret%3DTEST
Your new secret key is: SEKRETNY KLUCZ
Your verification code is KOD WERYFIKACYJNY
Your emergency scratch codes are:
123
456
789
123
123
423

Teraz ?ci?gamy na telefon aplikacje. W moim przypadku mam IOS wi?c pobieram j? z Apple Store, jest te? na systemy Android (

You do not have permission to view link please Log in or Register

):

Nast?pnie klikamy w "Zeskanuj kod paskowy"

I skanujemy QR kod kt?ry nam wygenerowa? program (2 linika kodu, patrz wy?ej. Kod jest pod tym linkiem:

https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://totp/root@twojhost%3Fsecret%3DTEST

Poradnik by Old Sessam i zabraniam kopiowania go.

AKTUALIZACJA PORADNIKA​

Po zastosowaniu nowej metody autoryzacji nie zalogujemy si? ju? na inne stworzone konto!! (weryfikacja dzia?a teraz tylko na koncie root) jezeli chcemy aby autoryzacja zadzia?a?a na innym koncie ni? root tworzymy nowego usera i logujemy si? na niego:

su serwer

takiej komendy u?yjemy jezeli nazwa usera to serwer, je?eli nazwa jest inna piszemy

su nazwa_usera

gdy nazwa_usera zamieniamy na nazwe u?ytkownika.

je?eli nie mamy ?adnego innego usera pr?cz root wpisujemy

adduser serwer

po zalogowaniu si? na normalne konto poprzez su nazwa_konta wpisujemy

google-authenticator

i wype?niamy na nowo formularz. Wygeneruje nam nowy QR kt?ry skanujemy apk? na telefonie. Teraz root i serwer maj? dwa osobne klucze kt?re s? generowane losowo przez serwery Googla. Robimy tak z reszt? kont kt?re b?d? logowane do naszego serwera przez SSH.

 

[Simon Here]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

Na pewno si? przyda. Za poradnik 10/10, dlaczego tyle? Jest czytelny, ?atwy do zrozumienia i nie ma w nim zb?dnych rzeczy/zdj??.

 

[Never Give Up]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

10/10 . Czytelny i dobrze przemy?lany poradnik.

 

[#NOOB]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

Dobry bajer haha Nie my?la?em ?e da si? co? takiego zrobi? XDDD 10/10

 

[Placek]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

Od biedy lecac na pale i kopiujac komendy, blad jest tu:

tar -xvf libpam-google-authenticator-1.0-source.tar.bz2

Bo nie da sie tak wypakowac ;p

Fix:

apt-get install bzip2
bzip2 -dc libpam*| tar -xf -

?

Zrzuty z androida:

Appke juz mialem, ale link tutaj:

You do not have permission to view link please Log in or Register

;P


Reszta o dziwo dziala i wyglada to spoko. Fajny poradnik, podnosi bezpieczesntwo w dosc duzym stopniu jesli chodzi o dostep ftp i ssh

Wszyscy oceniaja to tez ocenie xD 8/10 bo nie jest idealnie. Ale ogolnie zajebiscie spoko

Zastanawiam sie kto z tych wczesnisej pro 10/10 komentatorow w ogole przetestowal czy dziala i jak dziala xD Pewnie nikt. A jak by sie komus trafil problem z rozpakowaniem to juz by byl wielki placz, bo poradnik nie dziala :/

 

[Old Sessam]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

Od biedy lecac na pale i kopiujac komendy, blad jest tu:

Bo nie da sie tak wypakowac ;p

Fix:

?

Zrzuty z androida:

You do not have permission to view link please Log in or Register

You do not have permission to view link please Log in or Register

Appke juz mialem, ale link tutaj:

You do not have permission to view link please Log in or Register

;P


Reszta o dziwo dziala i wyglada to spoko. Fajny poradnik, podnosi bezpieczesntwo w dosc duzym stopniu jesli chodzi o dostep ftp i ssh

Wszyscy oceniaja to tez ocenie xD 8/10 bo nie jest idealnie. Ale ogolnie zajebiscie spoko

Zastanawiam sie kto z tych wczesnisej pro 10/10 komentatorow w ogole przetestowal czy dziala i jak dziala xD Pewnie nikt. A jak by sie komus trafil problem z rozpakowaniem to juz by byl wielki placz, bo poradnik nie dziala :/

Dziwne, mi jako? rozpakowa? ;x Dzi?ki za linka do androida, doda?em do poradnika. Doda?em te? aktualizacje, bo jak zastosujemy te weryfikacje to na zwyk?e konto ju? si? nie zalogujemy. Musimy wykonac nowe autoryzacje z osobna dla ka?dego konta.

 

[Sooh]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

ciekawy poradnik jak naprawie kompa to przetestuje

 

[Caaz]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

Nie testowany, ale wygl?da ca?kiem obiecuj?co ; ) Ze wzgl?du na to i? nie testowa?em, ocenie poradnik pod wzgl?dem czytelno?ci, estetyki wiec mocne 8,2/10 !

 

[Arkam]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

Spos?b ciekawy tylko ciekaw jestem w jaki spos?b generuj? si? te liczby, tj jakim algorytmem p??niej popatrze, anyway. nadal my?l?, ?e ograniczanie dost?pno?ci SSH/SFTP tylko na wybrane adresy IP jest lepsze

 

[Placek]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

@up
A moze by tak ograniczyc do okreslonych ip + dac 2FA? Bezpieczenstwa nigdy za malo
Co do algorytmu, jakos sie nie interesowalem, ale zakladam, ze i tak nie znajdzie sie zadne konkretne info na ten temat, ktore nie jest domyslem Wiec nie, to, ze zobaczysz tu kilka kodow nie pomoze ci rozszyfrowac jaki kod bedzie gdzie i kiedy dzialal na moich kontach xd Grzebanie w aplikacji pewnie tez ci nie pomoze zbyt wiele.
Znaczy wiesz, nie poswiecilem zbyt duzo czasu zeby sie przygladnac tematowi, ale zakladam z gory, ze 2fa od google jest w miare bezpieczne... No bo... przeciez nie moglo by nie byc...

 

[Arkam]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

@up
A moze by tak ograniczyc do okreslonych ip + dac 2FA? Bezpieczenstwa nigdy za malo
Co do algorytmu, jakos sie nie interesowalem, ale zakladam, ze i tak nie znajdzie sie zadne konkretne info na ten temat, ktore nie jest domyslem Wiec nie, to, ze zobaczysz tu kilka kodow nie pomoze ci rozszyfrowac jaki kod bedzie gdzie i kiedy dzialal na moich kontach xd Grzebanie w aplikacji pewnie tez ci nie pomoze zbyt wiele.
Znaczy wiesz, nie poswiecilem zbyt duzo czasu zeby sie przygladnac tematowi, ale zakladam z gory, ze 2fa od google jest w miare bezpieczne... No bo... przeciez nie moglo by nie byc...

R??nie to bywa?o z google

You do not have permission to view link please Log in or Register

 

[Placek]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

R??nie to bywa?o z google

You do not have permission to view link please Log in or Register

Na kazda usluge kazdeo dostawcy zawsze cos znajdziesz. Bledy sa wszedzie, ludzie grzebia wszedzie.
Ale. Nawet jesli w teorii da rade to obejsc, to i tak nie zaszkodzi zeby to miec. Wiec nic sie nie zmienilo.
W zasadzie to trzeba pamietac, ze niezaleznie jak sie pozabezpieczasz, to i tak trzeba byc swiadommy tego, ze kazde zabezpieczenie moze kiedys sie okazac zawodne. A w takim wypadku w sumie tez lepiej tych zabezpieczen miec wiecej niz mniej ;P

Mamy tu 2 opcje...
1. Haslo + ip + google 2fa.
2. Haslo + ip...

Dalej moim zdaniem lepsza opcja bedzie pierwsza.
Nawet jesli 2fa od google bedzie posiadalo jakies podatnosci. Bo przeciez hasla i ip nie usuwasz w ten sposob.
Ale... Schodzimy z tematu tak na ogolne bezpieczenstwo, a nie na poradnik, wiec chyba starczy ;p Dyskutowac mozemy tygodniami, ale nie tu xd

 

[TenTypSwir]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

"Na kazda usluge kazdeo dostawcy zawsze cos znajdziesz." ~~ Arkam powinienes wiedziec o tym juz na swoim przykladzie (FORUM) + wejdz gg [albo odpisz?]

+

Poradnik 10/10 ~~ zawsze to bezpieczniej + wszystko smiga [bez "fixu" kikimory] ^^ //Debian & Android user

 

[Lofiv]

Odp: Bezpiecze?stwo serwera SSH (weryfikacji dwuetapowa)

Zaawansowana technika. Super!