SSH with MFA on CENTOS CENTOS 7 de root kullanıcısı ile terminaldeyken eğer EPEL kaynak deposuna sahip değilsek;
[root@localhost guru]# yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest7.noarch.rpm
Daha sonra CENTOS üzerinde Google’s PAM kurulumu için;
[root@localhost guru]# yum install google-authenticator
Kurulum tamamlandıktan sonra uygulama çalıştırıldığında ekrana bir QR kodu geliyor.
“Yukarıdaki komutu çalıştırdıktan sonra birkaç soru ile karşılaşacaksınız. Bunlardan ilki, kimlik doğrulama token’ larının zaman esaslı olması gerekliliği ile ilgilidir. PAM, zaman tabanlı veya sequential tabanlı token’ lara izin vermektedir. Sequential tabanlı token kullanımında, kod belirli bir noktadan başlar ve her kullanımdan sonra bu arttırılır. Zaman tabanlı token kullanımında, belirli bir süre geçtikten sonra kodun rastgele değiştiği anlamına gelmektedir.
“ Bu QR kodunu telefo na indirdiğim google authenticator uygulamasına okutuyoruz her 30 sn de bir değişen 6 hanelik bi kod ekrana geliyor. QR kod ekrana geldikten sonra çıkan sorular PAM ın çalışma sürecini belirliyor.
Google PAM kurulumu ve yapılandırması tamamlandıktan sonra openSSH üzerinde gerekli değişiklikler için
[root@localhost guru]# nano /etc/pam.d/sshd
Dosyayı yukarıdaki görseldeki gibi düzenliyoruz. “Son satırın sonundaki nullok doğrulama yönteminin isteğe bağlı olduğunu PAM’a bildirmektedir. Bu, OATH sözcüğü bu kimlik TOTP token’ ı olmayan kullanıcıların hala SSH anahtarını kullanarak oturum açmalarına izin verdiği anlamına gelmektedir. Tüm kullanıcıların bir OATH satırdan kaldırabilirsiniz.
”TOTP token’ ı Dosyayı kaydederek çıkıyoruz
. olduğunda, MFA’ yı zorunlu hale getirmek için nullok’ ı bu
SSH’ ı bu tür bir kimlik doğrulamayı destekleyecek şekilde yapılandırmak için;
[root@localhost guru]# nano /etc/ssh/sshd_config
Şeklinde düzenleyip kaydedip çıkıyoruz.
Değişikliklerin algılanması için ssh servisini yeniden başlatıyoruz.
[root@lo calhost guru]# systemctl restart sshd.service
Test ederken;