오늘은 VPN 서버 문제를 해결하기 위해 집에 있는 Debian 컴퓨터에 원격으로 연결해야 했습니다.
이 문제를 해결하기 위해 SSH 클라이언트가 있는 iPhone을 사용했는데 작은 화면 크기와 가상 키보드로 인해 어려움을 겪고 있습니다. 공용(Windows) 컴퓨터가 있으면 컴퓨터에 연결하는 데 사용할 수 있다고 생각했습니다. 그러면 좋았을 텐데 컴퓨터에 키로거가 있는 것 같아서 내 루트 비밀번호가 "로그"되었을 수도 있습니다. 또한 Windows 시스템이므로 SSH 클라이언트가 설치되어 있지 않았기 때문에 온라인 SSH 클라이언트(키 입력도 기록됨)를 사용해야 했습니다.
내 질문은 다음과 같습니다.
다음에 공용 컴퓨터에서 SSH를 연결해야 할 때 너무 걱정할 필요가 없도록 데비안 컴퓨터를 보호하려면 어떻게 해야 합니까?
답변1
데비안 컴퓨터에 비밀번호 대신 공개 키와 개인 키를 요구하도록 하면 어떨까요? sshd_config 파일에서 이 설정을 변경할 수 있습니다. 하지만 그 전에는 ssh-copy-keys를 사용하여 키를 생성하고 서버에 설치하면 됩니다. 이 프로세스 후에는 누구도 사용자와 비밀번호를 추측하려고 시도할 수 없습니다. 액세스할 수 있는 유일한 방법은 키를 보유하는 것이고, 더 안전하게 하려면 키를 생성할 때 비밀번호를 제공해야 하기 때문입니다. 나는 게으르고 서버에 로그인할 때마다 비밀번호를 입력하고 싶지 않을 때도 이 작업을 수행합니다.
답변2
공용 연결의 가장 큰 문제는 비밀번호입니다. 누군가가 내 사용자 이름/내가 하는 일을 아는지 여부는 상관하지 않습니다. 하지만 중요한 것은 그들이 내 비밀번호를 어떻게 재사용했는지입니다.
2단계 인증으로 SSH 액세스를 보호하는 것이 좋습니다. SSH 로그인을 위해 Google Authenticator를 활성화하는 방법을 설명하는 다음 링크를 찾았습니다.https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-two-factor-authentication
모르시는 분들을 위해 여기위키피디아역할 설명:
일반적으로 사용자는 스마트폰에 인증 앱을 설치합니다. 2단계 인증을 사용하는 사이트나 서비스에 로그인하려면 사이트에 사용자 이름과 비밀번호를 제공하고 추가로 6자리 일회용 비밀번호를 생성하는 인증 애플리케이션을 실행해야 합니다. 사용자는 이를 사이트에 제공하고 사이트에서는 정확성을 확인하고 사용자를 인증합니다.
- 먼저,
libpam-google-authenticator즐겨 사용하는 패키지 관리자에서 설치하세요.소스코드는 여기에 auth required pam_google_authenticator.so구성 페이지에 2단계 인증을 추가하여 활성화하세요/etc/pam.d/sshd.- 파일에 로 설정되어 있는지 확인하세요
ChallengeResponseAuthentication.yes/etc/ssh/sshd_config - 2단계 인증을 사용하려는 사용자로 로그인한 후 실행하여
google-authenticator단계를 따르세요. 편의를 위해 단말기에 아름다운 QR 코드도 인쇄해 드립니다. - SSH 서버를 다시 시작하고 시도해 보세요!
sudoers이를 통해 Google OTP 비밀번호 인증만으로 그룹에 계정을 만들 수 있습니다 . 정적 비밀번호가 없고 안정적이며 여전히 루트 액세스가 가능합니다.
그러나 이 솔루션은 키로거가 공용 컴퓨터가 제공하는 유일한 위협이라고 가정합니다.