ഉബുണ്ടുവിനൊപ്പം ടു-ഫാക്ടർ ഓതന്റിക്കേഷൻ എങ്ങനെ ഉപയോഗിക്കാം

കാലക്രമേണ, ആപ്ലിക്കേഷനുകൾക്കും സിസ്റ്റങ്ങൾക്കും ശക്തമായ സുരക്ഷ നൽകുന്നതിൽ പരമ്പരാഗത ഉപയോക്തൃനാമവും പാസ്uവേഡ് പ്രാമാണീകരണവും അപര്യാപ്തമാണെന്ന് തെളിയിക്കപ്പെട്ടു. നിരവധി ഹാക്കിംഗ് ടൂളുകൾ ഉപയോഗിച്ച് ഉപയോക്തൃനാമങ്ങളും പാസ്uവേഡുകളും എളുപ്പത്തിൽ തകർക്കാൻ കഴിയും, ഇത് നിങ്ങളുടെ സിസ്റ്റത്തെ ലംഘനങ്ങൾക്ക് ഇരയാക്കുന്നു. ഇക്കാരണത്താൽ, സുരക്ഷയെ ഗൗരവമായി കാണുന്ന ഏതൊരു കമ്പനിയും സ്ഥാപനവും 2-ഘടക പ്രാമാണീകരണം നടപ്പിലാക്കേണ്ടതുണ്ട്.

സാധാരണ ഉപയോക്തൃനാമവും പാസ്uവേഡും ഉപയോഗിച്ച് പ്രാമാണീകരിക്കുന്നതിന് മുമ്പോ ശേഷമോ കോഡുകൾ അല്ലെങ്കിൽ OTP (വൺ ടൈം പാസ്uവേഡ്) പോലുള്ള ചില വിശദാംശങ്ങൾ നൽകുന്നതിന് ഉപയോക്താക്കൾ ആവശ്യപ്പെടുന്ന ഒരു അധിക സുരക്ഷാ പാളിയാണ് MFA (മൾട്ടി-ഫാക്ടർ ഓതന്റിക്കേഷൻ) എന്നറിയപ്പെടുന്ന 2-ഫാക്ടർ ഓതന്റിക്കേഷൻ നൽകുന്നത്.

ഇക്കാലത്ത് ഗൂഗിൾ, ഫേസ്ബുക്ക്, ട്വിറ്റർ, എഡബ്ല്യുഎസ് എന്നിവ പോലുള്ള ഒന്നിലധികം കമ്പനികൾ ഉപയോക്താക്കൾക്ക് അവരുടെ അക്കൗണ്ടുകൾ കൂടുതൽ പരിരക്ഷിക്കുന്നതിന് MFA സജ്ജീകരിക്കാനുള്ള തിരഞ്ഞെടുപ്പ് നൽകുന്നു.

ഈ ഗൈഡിൽ, നിങ്ങൾക്ക് ഉബുണ്ടുവിനൊപ്പം ടു-ഫാക്ടർ ഓതന്റിക്കേഷൻ എങ്ങനെ ഉപയോഗിക്കാമെന്ന് ഞങ്ങൾ കാണിക്കുന്നു.

ഘട്ടം 1: Google-ന്റെ PAM പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യുക

ആദ്യം, Google PAM പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യുക. PAM, Pluggable Authentication Module എന്നതിന്റെ ചുരുക്കെഴുത്ത്, Linux പ്ലാറ്റ്uഫോമിൽ ആധികാരികതയുടെ ഒരു അധിക പാളി നൽകുന്ന ഒരു സംവിധാനമാണ്.

പാക്കേജ് ഉബുണ്ടു ശേഖരണത്തിലാണ് ഹോസ്റ്റ് ചെയ്തിരിക്കുന്നത്, അതിനാൽ മുന്നോട്ട് പോയി ഇത് ഇനിപ്പറയുന്ന രീതിയിൽ ഇൻസ്റ്റാൾ ചെയ്യുന്നതിന് apt കമാൻഡ് ഉപയോഗിക്കുക:

$ sudo apt install libpam-google-authenticator

ആവശ്യപ്പെടുമ്പോൾ, ഇൻസ്റ്റാളേഷൻ തുടരാൻ Y അമർത്തി ENTER അമർത്തുക.

ഘട്ടം 2: നിങ്ങളുടെ സ്മാർട്ട്ഫോണിൽ Google Authenticator ആപ്പ് ഇൻസ്റ്റാൾ ചെയ്യുക

കൂടാതെ, നിങ്ങളുടെ ടാബ്uലെറ്റിലോ സ്uമാർട്ട്uഫോണിലോ Google Authenticator ആപ്ലിക്കേഷൻ ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട്. ഓരോ 30 സെക്കൻഡിലും സ്വയമേവ പുതുക്കുന്ന 6 അക്ക OTP കോഡ് ആപ്പ് നിങ്ങൾക്ക് നൽകും.

ഘട്ടം 3: ഉബുണ്ടുവിൽ Google PAM കോൺഫിഗർ ചെയ്യുക

Google Authenticator ആപ്പ് ഉള്ളതിനാൽ, കാണിച്ചിരിക്കുന്നതുപോലെ /etc/pam.d/common-auth ഫയൽ പരിഷ്uക്കരിച്ച് ഞങ്ങൾ ഉബുണ്ടുവിൽ Google PAM പാക്കേജ് കോൺഫിഗർ ചെയ്യും.

$ sudo vim /etc/pam.d/common-auth

സൂചിപ്പിച്ചതുപോലെ ഫയലിലേക്ക് ചുവടെയുള്ള വരി കൂട്ടിച്ചേർക്കുക.

auth required pam_google_authenticator.so

ഫയൽ സംരക്ഷിച്ച് പുറത്തുകടക്കുക.

ഇപ്പോൾ, PAM ആരംഭിക്കുന്നതിന് താഴെയുള്ള കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.

$ google-authenticator

ഇത് നിങ്ങളുടെ ടെർമിനൽ സ്ക്രീനിൽ രണ്ട് ചോദ്യങ്ങൾ ഉണർത്തും. ആദ്യം, പ്രാമാണീകരണ ടോക്കണുകൾ സമയാധിഷ്uഠിതമാകണോ എന്ന് നിങ്ങളോട് ചോദിക്കും.

സമയത്തെ അടിസ്ഥാനമാക്കിയുള്ള പ്രാമാണീകരണ ടോക്കണുകൾ ഒരു നിശ്ചിത സമയത്തിന് ശേഷം കാലഹരണപ്പെടും. ഡിഫോൾട്ടായി, ഇത് 30 സെക്കൻഡിന് ശേഷമാണ്, അതിൽ ഒരു പുതിയ ടോക്കണുകൾ ജനറേറ്റുചെയ്യുന്നു. ഈ ടോക്കണുകൾ നോൺ-ടൈം അധിഷ്ഠിത ടോക്കണുകളേക്കാൾ കൂടുതൽ സുരക്ഷിതമായി കണക്കാക്കപ്പെടുന്നു, അതിനാൽ, അതെ എന്നതിന് y ടൈപ്പ് ചെയ്ത് ENTER അമർത്തുക.

അടുത്തതായി, താഴെ കാണിച്ചിരിക്കുന്നതുപോലെ ടെർമിനലിൽ ഒരു QR കോഡ് പ്രദർശിപ്പിക്കും, അതിന് താഴെയായി ചില വിവരങ്ങൾ പ്രദർശിപ്പിക്കും. പ്രദർശിപ്പിച്ചിരിക്കുന്ന വിവരങ്ങളിൽ ഇവ ഉൾപ്പെടുന്നു:

  • രഹസ്യ കീ
  • സ്ഥിരീകരണ കോഡ്
  • അടിയന്തര സ്ക്രാച്ച് കോഡുകൾ

ഭാവി റഫറൻസിനായി നിങ്ങൾ ഈ വിവരങ്ങൾ ഒരു നിലവറയിലേക്ക് സംരക്ഷിക്കേണ്ടതുണ്ട്. നിങ്ങളുടെ ഓതന്റിക്കേറ്റർ ഉപകരണം നഷ്uടപ്പെടുന്ന സാഹചര്യത്തിൽ എമർജൻസി സ്uക്രാച്ച് കോഡുകൾ വളരെ ഉപയോഗപ്രദമാണ്. നിങ്ങളുടെ പ്രാമാണീകരണ ഉപകരണത്തിന് എന്തെങ്കിലും സംഭവിച്ചാൽ, കോഡുകൾ ഉപയോഗിക്കുക.

നിങ്ങളുടെ സ്uമാർട്ട് ഉപകരണത്തിൽ Google Authenticator ആപ്പ് ലോഞ്ച് ചെയ്uത്, അവതരിപ്പിച്ച QR കോഡ് സ്കാൻ ചെയ്യാൻ 'QR കോഡ് സ്കാൻ ചെയ്യുക' തിരഞ്ഞെടുക്കുക.

ശ്രദ്ധിക്കുക: മുഴുവൻ QR കോഡും സ്കാൻ ചെയ്യുന്നതിന് നിങ്ങൾ ടെർമിനൽ വിൻഡോ പരമാവധിയാക്കേണ്ടതുണ്ട്. QR കോഡ് സ്കാൻ ചെയ്തുകഴിഞ്ഞാൽ, ഓരോ 30 സെക്കൻഡിലും മാറുന്ന ആറക്ക OTP ആപ്പിൽ പ്രദർശിപ്പിക്കും.

അതിനുശേഷം, നിങ്ങളുടെ ഹോം ഫോൾഡറിലെ Google ഓതന്റിക്കേറ്റർ ഫയൽ അപ്uഡേറ്റ് ചെയ്യുന്നതിന് y തിരഞ്ഞെടുക്കുക.

അടുത്ത പ്രോംപ്റ്റിൽ, മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണങ്ങൾ മൂലം ഉണ്ടായേക്കാവുന്ന ആക്രമണങ്ങൾ തടയുന്നതിന് ഓരോ 30 സെക്കൻഡിലും ഒരു ലോഗിന് മാത്രമായി ലോഗിൻ പരിമിതപ്പെടുത്തുക. അതിനാൽ y തിരഞ്ഞെടുക്കുക

അടുത്ത പ്രോംപ്റ്റിൽ, സെർവറും ക്ലയന്റും തമ്മിലുള്ള സമയ വ്യതിയാനത്തെ അഭിസംബോധന ചെയ്യുന്ന സമയ ദൈർഘ്യത്തിന്റെ വിപുലീകരണം അനുവദിക്കാതിരിക്കാൻ n തിരഞ്ഞെടുക്കുക. മോശം സമയ സമന്വയത്തിലൂടെ നിങ്ങൾക്ക് വെല്ലുവിളികൾ നേരിടുന്നില്ലെങ്കിൽ ഇത് കൂടുതൽ സുരക്ഷിതമായ ഓപ്ഷനാണ്.

അവസാനമായി, 3 ലോഗിൻ ശ്രമങ്ങളിൽ മാത്രം നിരക്ക് പരിമിതപ്പെടുത്തൽ പ്രവർത്തനക്ഷമമാക്കുക.

ഈ ഘട്ടത്തിൽ, ഞങ്ങൾ 2-ഘടക പ്രാമാണീകരണ സവിശേഷത നടപ്പിലാക്കുന്നത് പൂർത്തിയാക്കി. വാസ്തവത്തിൽ, നിങ്ങൾ ഏതെങ്കിലും sudo കമാൻഡ് പ്രവർത്തിപ്പിക്കുകയാണെങ്കിൽ, Google Authenticator ആപ്പിൽ നിന്ന് നിങ്ങൾക്ക് നേടാനാകുന്ന ഒരു സ്ഥിരീകരണ കോഡിനായി നിങ്ങളോട് ആവശ്യപ്പെടും.

റീബൂട്ട് ചെയ്യുന്നതിലൂടെ നിങ്ങൾക്ക് ഇത് കൂടുതൽ സ്ഥിരീകരിക്കാൻ കഴിയും, നിങ്ങൾ ലോഗിൻ സ്ക്രീനിൽ എത്തിക്കഴിഞ്ഞാൽ, നിങ്ങളുടെ സ്ഥിരീകരണ കോഡ് നൽകാൻ നിങ്ങളോട് അഭ്യർത്ഥിക്കും.

Google Authenticator ആപ്പിൽ നിന്ന് നിങ്ങളുടെ കോഡ് നൽകിയ ശേഷം, നിങ്ങളുടെ സിസ്റ്റം ആക്uസസ് ചെയ്യാൻ പാസ്uവേഡ് നൽകുക.

ഘട്ടം 4: Google Authenticator-മായി SSH സംയോജിപ്പിക്കുക

നിങ്ങൾ Google PAM മൊഡ്യൂളിനൊപ്പം SSH ഉപയോഗിക്കാൻ ഉദ്ദേശിക്കുന്നുവെങ്കിൽ, നിങ്ങൾ രണ്ടും സമന്വയിപ്പിക്കേണ്ടതുണ്ട്. നിങ്ങൾക്ക് ഇത് നേടാൻ രണ്ട് വഴികളുണ്ട്.

ഒരു സാധാരണ ഉപയോക്താവിനായി SSH പാസ്uവേഡ് പ്രാമാണീകരണം പ്രവർത്തനക്ഷമമാക്കുന്നതിന്, ആദ്യം, സ്ഥിരസ്ഥിതി SSH കോൺഫിഗറേഷൻ ഫയൽ തുറക്കുക.

$ sudo vim /etc/ssh/sshd_config

കാണിച്ചിരിക്കുന്നതുപോലെ ഇനിപ്പറയുന്ന ആട്രിബ്യൂട്ടുകൾ 'അതെ' എന്ന് സജ്ജമാക്കുക

റൂട്ട് ഉപയോക്താവിനായി, 'PermitRootLogin' ആട്രിബ്യൂട്ട് yes ആയി സജ്ജമാക്കുക.

PermitRootLogin yes

ഫയൽ സംരക്ഷിച്ച് പുറത്തുകടക്കുക.

അടുത്തതായി, SSH-നുള്ള PAM റൂൾ പരിഷ്കരിക്കുക

$ sudo vim /etc/pam.d/sshd

തുടർന്ന് ഇനിപ്പറയുന്ന വരി കൂട്ടിച്ചേർക്കുക

auth   required   pam_google_authenticator.so

അവസാനമായി, മാറ്റങ്ങൾ പ്രാബല്യത്തിൽ വരുന്നതിനായി SSH സേവനം പുനരാരംഭിക്കുക.

$ sudo systemctl restart ssh

ചുവടെയുള്ള ഉദാഹരണത്തിൽ, ഞങ്ങൾ പുട്ടി ക്ലയന്റിൽ നിന്ന് ഉബുണ്ടു സിസ്റ്റത്തിലേക്ക് ലോഗിൻ ചെയ്യുന്നു.

നിങ്ങൾ പൊതു-കീ പ്രാമാണീകരണമാണ് ഉപയോഗിക്കുന്നതെങ്കിൽ, മുകളിലുള്ള ഘട്ടങ്ങൾ ആവർത്തിച്ച് /etc/ssh/sshd_config ഫയലിന്റെ ചുവടെ കാണിച്ചിരിക്കുന്ന ലൈൻ ചേർക്കുക.

AuthenticationMethods publickey,keyboard-interactive

ഒരിക്കൽ കൂടി, SSH ഡെമണിനായുള്ള PAM റൂൾ എഡിറ്റ് ചെയ്യുക.

$ sudo vim /etc/pam.d/sshd

തുടർന്ന് ഇനിപ്പറയുന്ന വരി ചേർക്കുക.

auth   required   pam_google_authenticator.so

നമ്മൾ നേരത്തെ കണ്ടതുപോലെ ഫയൽ സേവ് ചെയ്ത് SSH സേവനം പുനരാരംഭിക്കുക.

$ sudo systemctl restart ssh

ഉബുണ്ടുവിൽ ടു-ഫാക്ടർ ഓതന്റിക്കേഷൻ പ്രവർത്തനരഹിതമാക്കുക

നിങ്ങളുടെ പ്രാമാണീകരണ ഉപകരണമോ രഹസ്യ കീയോ നഷ്uടപ്പെട്ടാൽ, വിഷമിക്കരുത്. നിങ്ങൾക്ക് 2FA പ്രാമാണീകരണ പാളി എളുപ്പത്തിൽ പ്രവർത്തനരഹിതമാക്കുകയും നിങ്ങളുടെ ലളിതമായ ഉപയോക്തൃനാമം/പാസ്uവേഡ് ലോഗിൻ രീതിയിലേക്ക് മടങ്ങുകയും ചെയ്യാം.

ആദ്യം, നിങ്ങളുടെ സിസ്റ്റം പുനരാരംഭിച്ച് ആദ്യത്തെ GRUB എൻട്രിയിൽ e അമർത്തുക.

ലിനക്സിൽ ആരംഭിച്ച് ശാന്തമായ സ്പ്ലാഷിൽ $vt_handoff അവസാനിക്കുന്ന വരി സ്ക്രോൾ ചെയ്ത് കണ്ടെത്തുക. റെസ്ക്യൂ മോഡിലേക്ക് പ്രവേശിക്കാൻ systemd.unit=rescue.target എന്ന വരി ചേർക്കുക, ctrl+x അമർത്തുക

നിങ്ങൾ ഷെൽ നേടിയ ശേഷം, റൂട്ട് പാസ്uവേഡ് നൽകി ENTER അമർത്തുക.

അടുത്തതായി, മുന്നോട്ട് പോയി നിങ്ങളുടെ ഹോം ഡയറക്uടറിയിലെ .google-authenticator ഫയൽ ഇനിപ്പറയുന്ന രീതിയിൽ ഇല്ലാതാക്കുക. ഉപയോക്തൃനാമം നിങ്ങളുടെ സ്വന്തം ഉപയോക്തൃനാമം ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുന്നത് ഉറപ്പാക്കുക.

# rm /home/username/.google_authenticator

തുടർന്ന് /etc/pam.d/common-auth ഫയൽ എഡിറ്റ് ചെയ്യുക.

# $ vim /etc/pam.d/common-auth

ഇനിപ്പറയുന്ന വരി കമന്റ് ചെയ്യുക അല്ലെങ്കിൽ ഇല്ലാതാക്കുക:

auth required pam_google_authenticator.so

ഫയൽ സേവ് ചെയ്ത് നിങ്ങളുടെ സിസ്റ്റം റീബൂട്ട് ചെയ്യുക. ലോഗിൻ സ്ക്രീനിൽ, ആധികാരികമാക്കുന്നതിന് നിങ്ങളുടെ ഉപയോക്തൃനാമവും പാസ്uവേഡും നൽകിയാൽ മതിയാകും.

ഇത് ഈ ലേഖനത്തിന്റെ അവസാനത്തിലേക്ക് നമ്മെ എത്തിക്കുന്നു. അത് എങ്ങനെ പോയി എന്ന് കേൾക്കുമ്പോൾ ഞങ്ങൾ സന്തോഷിക്കും.