İki faktörlü doğrulama (2FA), kullanıcıların, SSH protokolü kullanarak Linux sunuculara güvenli şekilde erişimini sağlamaktadır. Bir nevi güvenlik önlemi olarak görülmektedir. 2FA, kullanıcıların standart şifre tabanlı kimlik doğrulamasının yanında ikinci doğrulama faktörü sağlamasına yardımcı olmaktadır. İki faktörlü doğrulama aşamaları içerisinde iki adıma yer verilmektedir. Bunlardan birincisi kullanıcı adı ve şifre kullanarak geleneksel bir kimlik doğrulaması uygulama şeklindedir. İkinci aşama ise ikinci doğrulama faktöründen yararlanmaktır. Bu faktör içerisinde genel olarak mobil uygulama ya da fiziksel cihaz kullanarak gerçekleştirme yapılmaktadır. Örnek vermek gerekirse de kullanıcıya SMS yolu ile gönderilmekte olan doğrulama kodu vardır. Doğrulama kodu da doğrulama uygulamasınca üretilen kod ve donanım güvenlik anahtarı olarak geçmektedir.
İki Faktörlü Doğrulamanın Yararları Nelerdir?
İki faktörlü doğrulama işleminin birden fazla faydasının olduğu bilinmektedir. Bunlardan söz etmek gerekirse de;
- Yalnızca şifrelerin ele geçirilmiş olması, şifrelerin kırılması halinde, saldırgan ikinci doğrulama faktörünü sağlayamaz. Bu durum da bir zorunluluk olduğundan, hesabınızın kötü niyetli kişiler tarafından çalınması gibi durumları engellemiş olur.
- İkinci doğrulama faktörü olarak kullanılan birden farklı yöntem bulunmaktadır. Kullanıcılara birden çok seçenek sunulmaktadır. Bu seçenekleri de kendi tercihlerinize göre doğrulama yöntemi seçmeniz mümkündür.
- İki faktörlü doğrulama işlemi sırasında, saldırganların kullanıcı adı ve şifreleri ele geçirmeleri durumunda, saldırganın hesaplara erişmesi zor bir hal almaktadır. Bu sayede kimlik avına karşı korunma kalkanı elde edilmiş olmaktadır.
İki Faktörlü Doğrulamanın Zararları Nelerdir?
- İki faktörlü doğrulamanın sağlanması için kullanıcı kişilerin ek olarak yapılması gereken adımları tamamlanması beklenir. Bu da bazı kullanıcılar için zaman kaybı, rahatsız edici bir durum olarak yorumlanmaktadır.
- İkinci doğrulama faktörü bulunan bir cihazı kaybettiğinizde ya da cihaz bozulduğunda, kullanıcı hesabına erişmek konusunda zorluk yaşamaktadır. Bundan kaynaklı olarak doğru bir şekilde yedekleme ve kurtarma planı yapılmalıdır. Kullanıcıların ikinci faktör cihazlarını güvende tutmak için kayıplara ve bozulmalara karşı da önlem alınması beklenmektedir.
- İki faktörlü doğrulama işlemleri sırasında, sisteme entegre etmek önem arz etmektedir. Bu da sistemle uyumlu hale getirmeyi zorunlu tutmaktadır. Bunun sağlanması noktasında da bazı ek yapılandırmaların kullanılması, yazılımların öne çıkması gerekmektedir. Bu da sistem yöneticileri ve kullanıcılar açısından iş yükü olarak görülmektedir.
- Kullanıcıların bazıları, iki doğrulama faktörünü zahmetli bulmaktadır. Bundan kaynaklı olarak da bu sistemi kullanmamaktadır. Bu gibi durumlarda ise güvenlik riskleri ortaya çıkmaktadır. Çünkü tek faktörlü olan kimlik doğrulamaları olması gerekenden daha az güvenlidir.
İki faktörlü doğrulama, SSH girişi gibi önemli işlemlerde, ek güvenlik sağlamaktadır. Buna ek olarak kullanıcıların ek adımları tamamlaması, ikinci faktör cihazların güvende olduğundan emin olmaları gerekmektedir. Doğru bir şekilde yapılandırma işlemi tamamlandığında, iki faktörlü doğrulama önemli bir güvenlik katmanı sağlamaktadır. Hesapların yetkisiz bir şekilde erişime açılmasının da önüne geçmektedir.
Sunucularda Kurulumu Nasıl Yapılır?
Sunucular için iki faktörlü doğrulama kurumu yapılacağı zaman öncelikli olarak doğrulama yönteminin seçilmesi gerekmektedir. Çünkü doğrulama işlemi için kullanılabilecek yöntemler birden fazladır. Bunlar içerisinde SMS ile doğrulama, uygulama ile doğrulama gibi seçenekler bulunmaktadır. Sizler de kendi ihtiyaçlarınıza ve isteklerinize göre seçim yapabilirsiniz.
Seçmiş olduğunuz ikinci doğrulama yöntemine bağlı şekilde hizmeti sunucunuzda kurabilirsiniz. Örnek vermek gerekirse de Google Authenticator uygulamasını kullanmak isteyebilirsiniz. Bu durumda sunucunuzda bir RAM modülünü yüklemeniz gerekli olmaktadır. Kullanıcının ikinci doğrulama faktörünü kullanması için de hesaplarla bağlantılı olması gerekmektedir. Bu noktada kullanıcı hesaplarını ve yapılandırma dosyalarını düzenlemelisiniz. Bu dosyayı kullanarak ilgili satırı ekleyebilir ve ikinci doğrulama işlemini de etkin hale getirebilirsiniz.
İkinci doğrulama yöntemlerini kullanabilmek adına hesaplarınızda ayarlamaları da tamamlamalısınız. Örnek vermek gerekirse Google Authenticator uygulamasını kullanıyorsanız, QR kod taraması ile doğrulama kodlarını hazırlayabilirsiniz. Gerekli tüm ayarlamaları yapmanızın ardından da bir test kullanıcısını kullanarak SSH erişimini deneyebilirsiniz. Bu da iki faktörlü doğrulamanın düzgün bir biçimde çalışıp çalışmadığından emin olmanızı sağlamaktadır. Kullanıcıların şifre girmesi, ikinci doğrulama faktörünü sağlaması gibi gereklilikleri de beraberinde getirmektedir.
Sizler tüm bu adımları takip ederek hareket edebilirsiniz. İşletim sisteminizdeki ve seçmiş olduğunuz doğrulama yönteminde bulunan kaynaklarını incelemeyi de ihmal etmemelisiniz. Ek olarak sunucu güvenliğinizin sağlandığından emin olmak adına güçlü bir parola seçmelisiniz. Diğer güvenlik önlemlerini de gözden geçirmeyi atlamamalısınız. Kullanabileceğiniz ek güvenlik önlemlerinden söz etmek gerekirse de;
- Sunucu yapılandırılmasının güncellenmesi, güvenlik açıklarının en aza inmesi için düzenli güncellemeler uygulayabilirsiniz. İşletim sisteminizin, kullanılan bileşenlerin ve SSH sunucusunun güncel olduğundan emin olmalısınız.
- SSH girişi için güvenlik anahtarlarını kullanmalısınız. Bu ek bir güvenlik katmanı sunmaktadır. Kullanıcıların güvenlik anahtarlarının olması ve doğru şekilde yapılandırılması gibi detayları da atlamamalısınız.
- Birden fazla başarısız giriş sonucunda hesaplarınız otomatik olarak kitlenmelidir. Böyle bir politika hazırlayabilirsiniz. Olası saldırıların gerçekleşmesi ve hesabınızın kötüye kullanılması gibi durumları önleme fırsatına sahip olursunuz.
- Olası güvenlik ihlallerini belirleyip yanıt verme sürecini daha kolay hale getirebilirsiniz.
Sunucuya Nasıl Kurulur?
İki faktörlü doğrulama kurulumu için ilk adımda Google Authenticator yüklenmelidir. Linux sunucunuza SSH kullanarak bağlanmalısınız. Sonrasında da root yetkililerini kullanarak oturumu açabilirsiniz. İkinci doğrulama işlemi için de Google Authenticator kullanabilirsiniz. Bundan ötürü öncelikli olarak “libpam_google_authenticator” paketini yüklemeniz gerekmektedir. Farklı olan Linux dağıtımları için de paket yöneticinizi kullanabilir ve bu paketi yükleyebilirsiniz.
SSH yapılandırmalarını değiştirmek için ikinci adıma geçebilirsiniz. Bu noktada SSH yapılandırma dosyasını düzenlemeniz gerekmektedir. Genel olarak bu dosya “/etc/ssh/sshd-config” dosyası olarak kabul edilmektedir. Bu dosyayı da bir metin düzenleyici içerisinde açabilirsiniz. Dosyada yer alan “Challenge Response Authentication” satırını bulmalısınız. Bu satırın altına da bazı eklemeler yapmalısınız. Bunlar ise şu şekildedir. “AuthenticationMethods publickey,keyboard-interactive” ve “AuthenticationMethods publickey,keyboard-interactive:pam”
Kullanacağınız bu satırlar, SSH için genel anahtar doğrulaması ve klavye etkileşimi doğrulamalarını kabul ettiğiniz anlamına gelmektedir. Sonrasında da dosyanızı kaydederek düzenleyiciyi kapatabilirsiniz.
Kullanıcılar için ikinci doğrulamayı ayarlamasında da “google-authenticator” komutunu çalıştırabilirsiniz. Bu komutu kullanarak yapılandırma işlemini sağlayabilirsiniz. Komut çalışmaya başladığı zaman size bazı sorular soracaktır. Sunulan seçeneklerle devam etmek istediğiniz zaman “Y” tuşuna basarak ilerleyebilirsiniz. Bu şekilde istediğiniz ayarları yapmanız da mümkündür.
Komut ayarları tamamlandığı zaman ise bir QR kodu, acil kurtarma kodu ve doğrulama kodu verilmektedir. Bu kodları uygulamanıza tarayıp bu şekilde sunucunuz içerisine ekleyebilirsiniz.
Dördüncü adım olarak da SSH servisini yeniden başlatabilirsiniz. Bu servisi yeniden başlatmak için ise “sudo systemctl restart sshd” komutunu çalıştırmanız gerekmektedir. Tüm işlemlerin tamamlanmasının ardından artık SSH sunucunuzda iki faktörlü doğrulama işlemi etkin hale gelmektedir. Sunucuya SSH ile bağlanırken kullanıcı adınızı ve şifrenizi girip, doğrulama kodunuz girmeniz gerekmektedir. Bu kod ile beraber doğrulama uygulamanız içerisinde güncellenen oturum için yeniden oluşturma işlemi de yapabilirsiniz. Kullanılan her iki faktörlü doğrulama işlemi de SSH girişlerinde kullanılmaktadır. Kullanıcılar hem genel anahtar doğrulaması hem de ikinci doğrulama faktörünün sunulmasını bekleyebilmektedir. Ek olarak her kullanıcının kendi hesabında iki faktörlü doğrulama ayarlaması yapabilmesi gerekmektedir.