بکندباز

مدیریت کلیدهای SSH و احراز هویت دو مرحله‌ای

27 0

در دنیای امروز که امنیت اطلاعات به یکی از مهم‌ترین دغدغه‌های سازمان‌ها و افراد تبدیل شده است، استفاده از پروتکل‌های امن مانند SSH (Secure Shell) برای دسترسی به سرورها و سیستم‌های راه‌دور ضروری است. SSH نه تنها امکان ارتباط امن را فراهم می‌کند، بلکه با استفاده از کلیدهای رمزنگاری، احراز هویت را نیز به شیوه‌ای مطمئن‌تر انجام می‌دهد. اما مدیریت این کلیدها و افزودن لایه‌های امنیتی بیشتر، مانند احراز هویت دو مرحله‌ای، می‌تواند امنیت سیستم‌ها را به طور چشمگیری افزایش دهد.

در این مقاله، به بررسی جامع مدیریت کلیدهای SSH و احراز هویت دو مرحله‌ای می‌پردازیم. شما خواهید آموخت که چگونه کلیدهای SSH را ایجاد، مدیریت و ایمن‌سازی کنید و چگونه می‌توانید با استفاده از احراز هویت دو مرحله‌ای، امنیت دسترسی به سرورهای خود را تقویت کنید. این مقاله برای مدیران سیستم، توسعه‌دهندگان و هر کسی که به امنیت اطلاعات علاقه‌مند است، مفید خواهد بود.

در ادامه، ابتدا با مبانی SSH آشنا می‌شویم، سپس به مدیریت کلیدهای SSH و در نهایت به احراز هویت دو مرحله‌ای و ترکیب این دو روش برای دسترسی امن‌تر خواهیم پرداخت. با ما همراه باشید تا با این مفاهیم مهم و کاربردی آشنا شوید.

مبانی SSH

SSH چیست؟

SSH یا Secure Shell یک پروتکل شبکه‌ای است که امکان برقراری ارتباط امن بین دو دستگاه را فراهم می‌کند. این پروتکل به‌طور گسترده‌ای برای دسترسی به سرورهای راه‌دور، انتقال فایل‌ها و اجرای دستورات از راه‌دور استفاده می‌شود. SSH با استفاده از رمزنگاری، داده‌ها را در طول انتقال محافظت می‌کند و از دسترسی غیرمجاز جلوگیری می‌نماید.

کلیدهای SSH: کلید عمومی و کلید خصوصی

یکی از ویژگی‌های مهم SSH، استفاده از کلیدهای رمزنگاری برای احراز هویت است. این کلیدها شامل دو بخش هستند:

  • کلید عمومی (Public Key): این کلید بر روی سرور ذخیره می‌شود و برای رمزنگاری داده‌ها استفاده می‌گردد. هر کسی می‌تواند این کلید را داشته باشد، اما بدون کلید خصوصی، نمی‌تواند به سیستم دسترسی پیدا کند.
  • کلید خصوصی (Private Key): این کلید باید به‌دقت محافظت شود و فقط بر روی دستگاه کاربر نگهداری می‌شود. کلید خصوصی برای رمزگشایی داده‌هایی که با کلید عمومی رمزنگاری شده‌اند، استفاده می‌شود.

مزایای استفاده از کلیدهای SSH

استفاده از کلیدهای SSH به جای رمزهای عبور سنتی، مزایای قابل توجهی دارد:

  1. امنیت بالاتر: کلیدهای SSH به‌دلیل طول و پیچیدگی بیشتر، در برابر حملات brute force مقاوم‌تر هستند.
  2. عدم نیاز به به‌خاطر سپردن رمز عبور: با استفاده از کلیدهای SSH، دیگر نیازی به وارد کردن رمز عبور برای هر بار دسترسی به سرور نیست.
  3. امکان مدیریت دسترسی‌ها: می‌توانید کلیدهای عمومی مختلفی را به سرور اضافه کنید و دسترسی‌ها را به‌صورت دقیق‌تر مدیریت نمایید.
  4. اتوماتیک‌سازی فرآیندها: کلیدهای SSH امکان اتوماتیک‌سازی دسترسی به سرورها را فراهم می‌کنند، که برای اسکریپت‌ها و ابزارهای DevOps بسیار مفید است.

نحوه کار SSH

هنگامی که کاربری می‌خواهد به یک سرور SSH متصل شود، مراحل زیر اتفاق می‌افتد:

  1. کاربر درخواست اتصال به سرور را ارسال می‌کند.
  2. سرور کلید عمومی کاربر را بررسی می‌کند و یک چالش رمزنگاری شده ایجاد می‌کند.
  3. کاربر با استفاده از کلید خصوصی خود، چالش را رمزگشایی می‌کند و پاسخ را به سرور ارسال می‌نماید.
  4. اگر پاسخ صحیح باشد، سرور اجازه دسترسی به کاربر را صادر می‌کند.

این فرآیند تضمین می‌کند که تنها کاربرانی که کلید خصوصی معتبر دارند، می‌توانند به سرور دسترسی پیدا کنند.

در بخش بعدی، به بررسی مدیریت کلیدهای SSH خواهیم پرداخت و نحوه ایجاد، انتقال و ایمن‌سازی این کلیدها را آموزش خواهیم داد.

مدیریت کلیدهای SSH

مدیریت کلیدهای SSH یکی از مهم‌ترین جنبه‌های استفاده از این پروتکل است. در این بخش، به شما آموزش می‌دهیم که چگونه کلیدهای SSH را ایجاد کنید، آنها را به سرور منتقل کنید، و از آنها به‌صورت ایمن استفاده نمایید.

آموزش مرتبط:  استفاده از Ansible برای اتوماسیون مدیریت سرور

1. ایجاد کلیدهای SSH

برای ایجاد یک جفت کلید SSH (کلید عمومی و خصوصی)، می‌توانید از دستور ssh-keygen استفاده کنید. این دستور به‌صورت پیش‌فرض یک کلید RSA ایجاد می‌کند، اما می‌توانید از الگوریتم‌های دیگر مانند ED25519 نیز استفاده کنید.

مراحل ایجاد کلید SSH:

  1. ترمینال خود را باز کنید و دستور زیر را اجرا کنید: 
    ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
    Bash
    • -t rsa: نوع کلید را مشخص می‌کند (در اینجا RSA).
    • -b 4096: طول کلید را تعیین می‌کند (4096 بیت برای امنیت بیشتر).
    • -C "your_email@example.com": یک برچسب برای کلید اضافه می‌کند (معمولاً از ایمیل استفاده می‌شود).
  2. پس از اجرای دستور، از شما خواسته می‌شود که محل ذخیره‌سازی کلیدها را مشخص کنید. اگر می‌خواهید از محل پیش‌فرض استفاده کنید، فقط Enter را بزنید.
  3. سپس، از شما خواسته می‌شود که یک گذرواژه (Passphrase) برای کلید خصوصی خود وارد کنید. این گذرواژه یک لایه امنیتی اضافه می‌کند و حتی اگر کلید خصوصی شما به سرقت برود، بدون این گذرواژه قابل استفاده نخواهد بود.
  4. پس از تکمیل مراحل، دو فایل ایجاد می‌شود:
    • id_rsa: کلید خصوصی (این فایل باید محافظت شود).
    • id_rsa.pub: کلید عمومی (این فایل را به سرور منتقل می‌کنید).

2. انتقال کلید عمومی به سرور

پس از ایجاد کلیدهای SSH، باید کلید عمومی خود را به سرور منتقل کنید تا بتوانید از آن برای احراز هویت استفاده کنید. برای این کار، می‌توانید از دستور ssh-copy-id استفاده کنید.

مراحل انتقال کلید عمومی:

  1. دستور زیر را در ترمینال خود اجرا کنید: 
    ssh-copy-id -i ~/.ssh/id_rsa.pub user@your_server_ip
    Bash
    • -i ~/.ssh/id_rsa.pub: مسیر کلید عمومی را مشخص می‌کند.
    • user@your_server_ip: نام کاربری و آدرس IP سرور را وارد کنید.
  2. پس از اجرای دستور، از شما خواسته می‌شود که رمز عبور کاربر سرور را وارد کنید. پس از وارد کردن رمز عبور، کلید عمومی شما به فایل ~/.ssh/authorized_keys در سرور اضافه می‌شود.
  3. اکنون می‌توانید بدون نیاز به وارد کردن رمز عبور، با استفاده از کلید SSH به سرور متصل شوید: 
    ssh user@your_server_ip
    Bash

3. مدیریت چندین کلید SSH

اگر از چندین سرور استفاده می‌کنید یا برای اهداف مختلف نیاز به کلیدهای SSH متفاوت دارید، می‌توانید چندین جفت کلید ایجاد کنید و آنها را مدیریت نمایید.

مراحل مدیریت چندین کلید SSH:

  1. کلیدهای جدید را با استفاده از دستور ssh-keygen ایجاد کنید و نام فایل‌های کلید را تغییر دهید تا با کلیدهای قبلی تداخل نداشته باشند. مثلاً: 
    ssh-keygen -t rsa -b 4096 -C "your_email@example.com" -f ~/.ssh/id_rsa_server2
    Bash
  2. برای استفاده از کلیدهای مختلف برای سرورهای مختلف، می‌توانید از فایل پیکربندی SSH (~/.ssh/config) استفاده کنید. این فایل به شما امکان می‌دهد که برای هر سرور، کلید مربوطه را مشخص کنید.

    مثال فایل ~/.ssh/config:

    Host server1
   HostName your_server1_ip
   User user1
   IdentityFile ~/.ssh/id_rsa

Host server2
   HostName your_server2_ip
   User user2
   IdentityFile ~/.ssh/id_rsa_server2
    Bash

    با این تنظیمات، می‌توانید به سادگی با دستور ssh server1 یا ssh server2 به سرورهای مختلف متصل شوید.

4. به‌روزرسانی و چرخش کلیدها

برای حفظ امنیت، توصیه می‌شود که کلیدهای SSH خود را به‌صورت دوره‌ای به‌روزرسانی کنید. این فرآیند شامل ایجاد کلیدهای جدید، انتقال کلیدهای عمومی به سرورها و حذف کلیدهای قدیمی است.

مراحل چرخش کلیدها:

  1. یک جفت کلید جدید ایجاد کنید: 
    ssh-keygen -t rsa -b 4096 -C "your_email@example.com" -f ~/.ssh/id_rsa_new
    Bash
  2. کلید عمومی جدید را به سرور منتقل کنید: 
    ssh-copy-id -i ~/.ssh/id_rsa_new.pub user@your_server_ip
    Bash
  3. پس از اطمینان از کارکرد صحیح کلید جدید، کلید قدیمی را از سرور و سیستم خود حذف کنید.

5. امنیت کلیدهای SSH

برای جلوگیری از سوء استفاده از کلیدهای SSH، رعایت نکات امنیتی زیر ضروری است:

  • محافظت از کلید خصوصی: کلید خصوصی خود را در مکانی امن نگهداری کنید و دسترسی به آن را محدود نمایید. از گذرواژه‌های قوی برای محافظت از کلید خصوصی استفاده کنید.
  • محدود کردن دسترسی‌ها: فقط به کاربران مورد اعتماد اجازه دسترسی به سرورها را بدهید و کلیدهای عمومی آن‌ها را به‌دقت مدیریت کنید.
  • غیرفعال کردن احراز هویت با رمز عبور: در صورت امکان، احراز هویت با رمز عبور را در سرور غیرفعال کنید تا فقط از کلیدهای SSH برای دسترسی استفاده شود.

در بخش بعدی، به بررسی احراز هویت دو مرحله‌ای و نحوه ترکیب آن با کلیدهای SSH خواهیم پرداخت.

احراز هویت دو مرحله‌ای

احراز هویت دو مرحله‌ای (2FA) یک لایه امنیتی اضافه به فرآیند ورود به سیستم اضافه می‌کند. با استفاده از این روش، حتی اگر کسی به کلید SSH شما دسترسی پیدا کند، بدون تأیید دومین مرحله (مانند کد یک‌بار مصرف) نمی‌تواند به سیستم وارد شود. در این بخش، به بررسی انواع روش‌های احراز هویت دو مرحله‌ای و نحوه پیاده‌سازی آن برای SSH می‌پردازیم.

1. احراز هویت دو مرحله‌ای چیست؟

احراز هویت دو مرحله‌ای به این معناست که کاربر برای ورود به سیستم، علاوه بر ارائه اطلاعات اولیه (مانند کلید SSH یا رمز عبور)، باید یک عامل دوم را نیز تأیید کند. این عامل دوم می‌تواند یکی از موارد زیر باشد:

  • کد یک‌بار مصرف (OTP): کدی که از طریق پیامک، ایمیل یا اپلیکیشن‌های موبایل مانند Google Authenticator ارسال می‌شود.
  • توکن سخت‌افزاری: یک دستگاه فیزیکی که کدهای امنیتی تولید می‌کند.
  • بیومتریک: استفاده از اثر انگشت یا تشخیص چهره.

2. انواع روش‌های احراز هویت دو مرحله‌ای

الف) کدهای یک‌بار مصرف مبتنی بر زمان (TOTP)

TOTP (Time-Based One-Time Password) یکی از رایج‌ترین روش‌های احراز هویت دو مرحله‌ای است. در این روش، یک کد یک‌بار مصرف بر اساس زمان فعلی و یک کلید مخفی تولید می‌شود. این کد معمولاً هر 30 ثانیه تغییر می‌کند و کاربر باید آن را در زمان ورود وارد کند.

ب) اپلیکیشن‌های موبایل

اپلیکیشن‌هایی مانند Google Authenticator، Authy و Microsoft Authenticator از روش TOTP استفاده می‌کنند. این اپلیکیشن‌ها کدهای یک‌بار مصرف را تولید می‌کنند و کاربر می‌تواند به‌راحتی از آنها برای احراز هویت استفاده کند.

ج) پیامک و ایمیل

در این روش، کد یک‌بار مصرف از طریق پیامک یا ایمیل به کاربر ارسال می‌شود. اگرچه این روش ساده است، اما به دلیل خطرات امنیتی مانند حملات SIM Swap، کمتر توصیه می‌شود.

3. تنظیم احراز هویت دو مرحله‌ای برای SSH

برای فعال‌سازی احراز هویت دو مرحله‌ای در SSH، می‌توانید از ابزارهایی مانند Google Authenticator استفاده کنید. در ادامه، مراحل پیاده‌سازی این روش را بررسی می‌کنیم.

مراحل فعال‌سازی احراز هویت دو مرحله‌ای با Google Authenticator:

  1. نصب Google Authenticator:
    ابتدا باید پکیج Google Authenticator را بر روی سرور خود نصب کنید. برای سیستم‌های مبتنی بر Debian/Ubuntu، از دستور زیر استفاده کنید:

    sudo apt-get update
sudo apt-get install libpam-google-authenticator
    Bash

    برای سیستم‌های مبتنی بر CentOS/RHEL:

    sudo yum install google-authenticator
    Bash
  2. پیکربندی Google Authenticator:
    پس از نصب، دستور زیر را اجرا کنید تا پیکربندی اولیه انجام شود:

    google-authenticator
    Bash
    • از شما سوال می‌شود که آیا می‌خواهید توکن‌های مبتنی بر زمان استفاده کنید. با وارد کردن y موافقت کنید.
    • یک QR Code و یک کلید مخفی به شما نمایش داده می‌شود. این اطلاعات را با استفاده از اپلیکیشن Google Authenticator بر روی گوشی خود اسکن کنید یا به‌صورت دستی وارد نمایید.
    • سپس، از شما خواسته می‌شود که کدهای بازیابی را ذخیره کنید. این کدها در صورت از دست دادن دسترسی به اپلیکیشن موبایل، به شما کمک می‌کنند.
  3. تنظیم PAM برای SSH:
    حالا باید PAM (Pluggable Authentication Modules) را برای استفاده از Google Authenticator پیکربندی کنید. فایل /etc/pam.d/sshd را باز کنید و خط زیر را به آن اضافه کنید:

    auth required pam_google_authenticator.so
    Bash
  4. تنظیم SSH برای استفاده از PAM:
    فایل پیکربندی SSH (/etc/ssh/sshd_config) را باز کنید و مطمئن شوید که تنظیمات زیر فعال هستند:

    ChallengeResponseAuthentication yes
UsePAM yes
    Bash
  5. راه‌اندازی مجدد سرویس SSH:
    پس از انجام تغییرات، سرویس SSH را راه‌اندازی مجدد کنید:

    sudo systemctl restart sshd
    Bash
  6. تست احراز هویت دو مرحله‌ای:
    حالا هنگام اتصال به سرور، پس از وارد کردن کلید SSH، از شما خواسته می‌شود که کد یک‌بار مصرف را وارد کنید. این کد را از اپلیکیشن Google Authenticator دریافت کرده و وارد نمایید.

4. مزایا و چالش‌های احراز هویت دو مرحله‌ای

مزایا:

  • افزایش امنیت: حتی اگر کلید SSH به سرقت برود، بدون کد یک‌بار مصرف، دسترسی غیرممکن است.
  • سادگی استفاده: اپلیکیشن‌های موبایل مانند Google Authenticator، استفاده از 2FA را بسیار ساده می‌کنند.
  • پشتیبانی گسترده: بسیاری از سرویس‌ها و ابزارها از احراز هویت دو مرحله‌ای پشتیبانی می‌کنند.

چالش‌ها:

  • وابستگی به دستگاه دوم: اگر گوشی همراه خود را گم کنید یا به آن دسترسی نداشته باشید، ممکن است نتوانید وارد سیستم شوید.
  • زمان‌بر بودن: وارد کردن کد یک‌بار مصرف ممکن است فرآیند ورود را کمی طولانی‌تر کند.

در بخش بعدی، به بررسی ترکیب مدیریت کلیدهای SSH و احراز هویت دو مرحله‌ای خواهیم پرداخت و نحوه استفاده از این دو روش برای دسترسی امن‌تر به سرورها را آموزش خواهیم داد.

نتیجه‌گیری

مدیریت کلیدهای SSH و احراز هویت دو مرحله‌ای دو روش قدرتمند برای افزایش امنیت دسترسی به سرورها و سیستم‌های راه‌دور هستند. در این مقاله، به بررسی جامع این دو موضوع پرداختیم و مراحل لازم برای پیاده‌سازی آنها را آموزش دادیم.

نکات کلیدی:

  1. مدیریت کلیدهای SSH:
    • ایجاد کلیدهای SSH و استفاده از آنها به جای رمزهای عبور سنتی، امنیت دسترسی به سرورها را به‌طور چشمگیری افزایش می‌دهد.
    • انتقال کلیدهای عمومی به سرور و مدیریت چندین کلید SSH، امکان کنترل دقیق‌تر دسترسی‌ها را فراهم می‌کند.
    • به‌روزرسانی دوره‌ای کلیدها و رعایت نکات امنیتی، از سوء استفاده از کلیدهای SSH جلوگیری می‌کند.
  2. احراز هویت دو مرحله‌ای:
    • افزودن یک لایه امنیتی اضافه با استفاده از احراز هویت دو مرحله‌ای، حتی در صورت سرقت کلید SSH، دسترسی غیرمجاز را غیرممکن می‌سازد.
    • ابزارهایی مانند Google Authenticator، پیاده‌سازی احراز هویت دو مرحله‌ای را ساده و کاربردی می‌کنند.
  3. ترکیب این دو روش:
    • ترکیب مدیریت کلیدهای SSH با احراز هویت دو مرحله‌ای، امنیت سیستم‌ها را به‌طور قابل توجهی افزایش می‌دهد.
    • با استفاده از این ترکیب، می‌توانید از دسترسی غیرمجاز به سرورها جلوگیری کنید و داده‌های خود را در برابر تهدیدات امنیتی محافظت نمایید.

گام‌های بعدی:

  • آزمایش و پیاده‌سازی: روش‌های ارائه شده در این مقاله را بر روی سرورهای خود پیاده‌سازی کنید و امنیت سیستم‌های خود را ارتقا دهید.
  • آموزش تیم: اگر در یک تیم کار می‌کنید، مطمئن شوید که همه اعضا با این روش‌ها آشنا هستند و از آنها به‌درستی استفاده می‌کنند.
  • بررسی دوره‌ای: به‌صورت دوره‌ای تنظیمات امنیتی خود را بررسی کنید و در صورت نیاز، کلیدهای SSH را به‌روزرسانی نمایید.

با رعایت این نکات و استفاده از روش‌های پیشرفته‌ای مانند مدیریت کلیدهای SSH و احراز هویت دو مرحله‌ای، می‌توانید امنیت سیستم‌های خود را به‌طور قابل توجهی افزایش دهید و از داده‌های خود در برابر تهدیدات امنیتی محافظت کنید.

https://bkeb.ir/?p=71193
backendbaz

مدیر وب سایت بکندباز

دیدگاه‌ها

*
*