运用两步考证(2FA)珍爱你的SSH衔接 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

运用两步考证(2FA)珍爱你的SSH衔接

申博_行业观察 申博 94次浏览 已收录 0个评论

媒介

两重认证(英语:Two-factor authentication,缩写为2FA),又译为两重考证、双因子认证、双要素认证、二元认证,又称两步调考证(2-Step Verification,又译两步考证),是一种认证要领,运用两种分歧的元素,兼并在一起,来确认用户的身份,是多要素考证中的一个惯例。

前段时候黉舍几台效劳器被入侵,有Windows和Linux,无一例外都是被SSH和RDP爆破进来然后植入木马。还好这些机子都是内部不克不及衔接外网的,挖矿木马没有和C&C效劳器通讯起来,没有胜利挖矿,然则这件事依然给我们敲响了警钟。
和师兄在一起交换的时刻,倏忽想到了如今盛行的两步考证(2FA),就想着能不克不及给SSH和RDP上面套一层,在输入暗码登录完成以后还须要经由二次认证能力胜利接见效劳器,想到这里就最先查文章,折腾了几天终究胜利处理了这个题目,特写一篇文章分享一下:

我用一台Ubuntu 18.04 LTS作为测试机来演示。起首我们要把 SSH 设置装备摆设好,确保通例 SSH 能够胜利衔接

然后在你的手机上装置Google Authenticator这个运用,Android 和 iOS 都有。

装置 Google authenticator

我们须要先更新一下软件包:sudo apt update,然后装置 Google PAM:

$ sudo apt-get install libpam-google-authenticator

装置好后,直接在命令行中运转 google-authenticator

运用两步考证(2FA)珍爱你的SSH衔接

它会提示你是不是天生基于时候的 Token,这时刻依据你的喜好挑选,我这里挑选是,输入Y。

运用两步考证(2FA)珍爱你的SSH衔接

此时会涌现一张二维码图片,我们这时刻翻开方才下载的身份考证器,点击右下角的加号,挑选“扫描条形码”,然后将 SSH 窗口放大,用摄像头扫描涌现的二维码,此时就会多出一个账号信息(六位数的动态码),别的记得妥帖生存你的Emergency Key

若是胜利扫描的话便可跳过此步,若是你没法扫描二维码的话,请点击下方的“输入供应的密钥”

运用两步考证(2FA)珍爱你的SSH衔接
账号名随意输入,不外发起取一个轻易记着的名字,“您的密钥”一栏输入二维码下面随着的那串Your new secret key is背面的内容,“时候选项”内里,若是你在第一步输入了Y,就挑选基于时候,不然就选基于计数器,完成后点击增加。

提示Do you want me to update your "/home/wb/.google_authenticator" file? (y/n),输入Y。
接下来提示你是不是设置为动态码复用,以防备进击,固然选Y。

Hackthebox: kotarak(从ssrf到提权-ntds-dit提取密码)

前言 hackthebox是一个在线的渗透平台,通过渗透获取邀请码,即可在这个平台上注册一个账号。 该平台的在线靶机一共20台,每周会下线一台靶机,如果靶机下线了呢,分数就会全部清空。而成功渗透靶机就能获取一定的分数,分数够了就能提升等级。 在线的靶机都是没有writeup的,所以你的等级很大程度可以证明你的渗透实战能力。 该平台一共7个用户等级,刚注册是等级Noob: Noob 无知者 script kiddle 脚本小子 hacker 黑客 Pro hacker 专业黑客 Elite Hacker 精英黑客 Guru 大师 Omniscient (最高等级)无所不知者 靶机的分数为20-50分 20分-easy 简单 30分-medium 中等难度 40分-hard 困难的 50分-Insane 疯狂的 下面介绍关于过期的机器kotarak的渗透过程,难度等级为hard。 扫描 用masscan与Nmap工具分别输入以下指令: masscan -p1-65535,U:1-65535 10.10.10.55 –rate=1000 -e tun0 -p1-65535,U:1-65535 > ports

ports=$(cat ports | awk -F ” ” ‘{print $4}’ | awk -F “/” ‘{print $1}’ | sort -n | tr ‘\n’ ‘,’ | sed ‘s/,$//’)

nmap -Pn -sV -sC -sU -sT -p$ports 10.10.10.55 扫描结果提示,22、8080、8009以及60000端口开放。 8080web探测 首先访问http://10.10.10.

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

接下来我小我引荐第一项挑选N,第二项选Y,如许能够防备进击。

By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n) n

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting? (y/n) y

设置装备摆设 SSH

第一步设置装备摆设完成了,这时刻请从新翻开一个 SSH 衔接,第一个不要封闭,以防备设置装备摆设毛病致使本身也衔接不上

用你喜好的文本编辑器翻开/etc/pam.d/sshd,然后将auth required pam_google_authenticator.so nullok增加到文件的尾部。

注重:nullok 的意义是这项考证是可选的,若是你没有TOTP令牌的话,依然能够运用SSH暗码和密钥登录,我们为了保险起见先运用这个,比及设置装备摆设好了以后就能够去掉了。

接下来翻开/etc/ssh/sshd_config,找到ChallengeResponseAuthentication,并将其设置为Yes
运用两步考证(2FA)珍爱你的SSH衔接
然后生存退出,sudo systemctl restart sshd,重启一下 SSH 效劳

接下来从新 SSH 衔接一下你的效劳器,你会发明须要输入分外的考证码能力登录效劳器了。
运用两步考证(2FA)珍爱你的SSH衔接

让 SSH 晓得 MFA(只运用暗码登录可跳过此步)

由于 SSH 密钥会覆盖掉2FA设置,以是用账号暗码登录是没有题目的,然则若是你在运用公私钥登录的时刻,就不会涌现 Google Authenticator 的提示,以是我们须要做以下操纵:

翻开 /etc/ssh/sshd_config 文件,到场这行:

AuthenticationMethods publickey,password publickey,keyboard-interactive

然后翻开/etc/pam.d/sshd,作废解释#@include common-auth这一行。
生存退出后再次重启 SSH 效劳便可,若是一般的话,在运用私钥登录的时刻也能够输入暗码了。

丧失了令牌怎么办

还记得那几个 Emergency Code吗?
若是在没有令牌的情况下,能够运用这五个 Emergency Code 举行登录,固然这五个Code是一次性的,运用完成后就会失效。

变动身份考证设置

翻开 /home/YourName/.google_authenticator文件,你会看到下面的内容:

BWZBHD7TPTI3R3PK52TG6GNBX4
" RATE_LIMIT 3 30 1558529144
" DISALLOW_REUSE 51950963
" TOTP_AUTH
36705104
62558944
24965430
29372119
  • 第一行就是你在扫描二维码或许手动输入的密钥,能够举行替换。
  • RATE_LIMIT 为限定屡次登录的次数,也能够修正
  • 要许可屡次运用单个代码,请删除DISALLOW_REUSE这一行
  • TOTP_AUTH对应的是上面的”基于时候”,若是你要改成“基于计数器”,请将TOTP_AUTH换成HOTP_COUNTER 1
  • 下面的几行就是一次性规复代码了,你能够本身增加,也能够悉数删撤除。

申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明运用两步考证(2FA)珍爱你的SSH衔接
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址