Bu İçerikte Bahsedilen Konular
İki faktörlü doğrulama (2FA), kullanıcıların SSH (Secure Shell) protokolü aracılığıyla Linux sunucularına güvenli bir şekilde erişmelerini sağlayan bir güvenlik önlemidir. 2FA, kullanıcıların standart şifre tabanlı kimlik doğrulamasına ek olarak bir ikinci doğrulama faktörü sağlamalarını gerektirir.
İki faktörlü doğrulama genellikle şu adımları içerir:
1. Adım: Kullanıcı adı ve şifre ile geleneksel kimlik doğrulamasını yapma.
2. Adım: İkinci doğrulama faktörünü sağlama. Bu faktör, genellikle bir mobil uygulama veya fiziksel bir cihaz aracılığıyla gerçekleştirilir. Örneğin, kullanıcıya SMS ile gönderilen bir doğrulama kodu, bir doğrulama uygulaması tarafından üretilen dinamik bir kod veya bir donanım güvenlik anahtarı olabilir.
İki Faktörlü Doğrulamanın Yararları Nelerdir?
İki faktörlü doğrulamanın pek çok yararı bulunuyor. Bu faydalar şu şekilde sıralanabilir:
- Ek güvenlik: Şifrelerin tek başına ele geçirilmesi veya kırılması durumunda bile, saldırganın ikinci doğrulama faktörünü sağlaması gerekmektedir. Bu, hesabın daha güvende olmasını sağlar.
- Farklı doğrulama yöntemleri: İkinci doğrulama faktörü olarak kullanılabilecek farklı yöntemler vardır. Bu, kullanıcılara çeşitli seçenekler sunar ve kendi tercihlerine göre doğrulama yöntemini seçmelerine olanak tanır.
- Kullanıcı kimlik avı saldırılarına karşı koruma: İki faktörlü doğrulama, saldırganların kullanıcı adı ve şifrelerini ele geçirdiklerinde bile hesaplara erişmelerini zorlaştırır, böylece kimlik avı saldırılarına karşı daha iyi koruma sağlar.
İki Faktörlü Doğrulamanın Zararları Nelerdir?
1. Ek karmaşıklık: İkinci doğrulama faktörünü sağlamak için kullanıcıların ek adımları tamamlamaları gerekmektedir. Bu, bazı kullanıcılar için karmaşık veya rahatsız edici olabilir.
2. Yanlış yapılandırma riski: Yanlış yapılandırılan bir 2FA sisteminden kaynaklanan hatalar, kullanıcıları hesaplarına erişememe riskiyle karşı karşıya bırakabilir.
3. İkinci faktör kaybı: Eğer ikinci doğrulama faktörü olan bir cihaz kaybedilirse veya bozulursa, kullanıcılar hesaplarına erişimde sorun yaşayabilirler. Bu nedenle, doğru bir yedekleme ve kurtarma planının olması önemlidir. Kullanıcıların ikinci faktör cihazlarını güvende tutmaları ve olası kayıplara karşı önlemler almaları gerekmektedir.
4. Kullanıcıların ikinci faktörü kullanma konusunda isteksizlikleri: Bazı kullanıcılar, ikinci doğrulama faktörünü sağlama adımını zahmetli bulabilir veya kullanmaktan kaçınabilir. Bu durumda, güvenlik riski oluşabilir çünkü tek faktörlü kimlik doğrulaması daha az güvenli olabilir.
5. Sistem entegrasyonu ve uyumluluk: İki faktörlü doğrulama, sistemlere entegre edilmeli ve uyumlu hale getirilmelidir. Bunu sağlamak için bazı ek yazılım veya yapılandırma gerekebilir. Bu, sistem yöneticileri ve kullanıcılar için ek iş yükü ve zaman alabilir.
İki faktörlü doğrulama, SSH girişi gibi hassas işlemlerde ek güvenlik sağlayan etkili bir yöntemdir. Bununla birlikte, kullanıcıların ek adımları tamamlaması ve ikinci faktör cihazlarını güvende tutmaları gerekmektedir. Doğru bir şekilde yapılandırıldığında, iki faktörlü doğrulama önemli bir güvenlik katmanı sağlar ve hesapların yetkisiz erişimden korunmasına yardımcı olur.
İki Faktörlü Doğrulama Sunuculara Nasıl Kurulur ve Yapılandırılır?
Uyumlu bir ikinci doğrulama yöntemi seçin: İkinci doğrulama faktörü olarak kullanabileceğiniz farklı yöntemler vardır. Bunlar arasında SMS tabanlı doğrulama, doğrulama uygulamaları (Google Authenticator, Authy vb.) veya donanım tabanlı güvenlik anahtarları (YubiKey vb.) yer alabilir. İhtiyaçlarınıza ve tercihlerinize en uygun olanı seçin.
İkinci doğrulama hizmetini kurun: Seçtiğiniz ikinci doğrulama yöntemine göre, ilgili hizmeti sunucunuza kurmanız gerekebilir. Örneğin, Google Authenticator uygulamasını kullanmayı seçtiyseniz, sunucunuzda bir PAM (Pluggable Authentication Modules) modülü olan “libpam-google-authenticator”ı yüklemeniz gerekebilir.
İkinci doğrulama yöntemini kullanıcı hesaplarına bağlayın: Kullanıcıların ikinci doğrulama faktörünü kullanabilmeleri için hesaplarına bağlantı kurmanız gerekmektedir. Bunun için, kullanıcı hesaplarının PAM yapılandırma dosyalarını düzenlemeniz gerekebilir (genellikle “/etc/pam.d/sshd” dosyası). Bu dosyada, ilgili satırları ekleyerek ikinci doğrulamayı etkinleştirebilirsiniz.
Kullanıcıların ikinci doğrulama ayarlarını yapılandırın: Kullanıcıların ikinci doğrulama yöntemini kullanabilmeleri için kendi hesaplarında ilgili ayarları yapmaları gerekebilir. Örneğin, Google Authenticator uygulamasını kullanıyorlarsa, bir QR kodu tarayarak doğrulama kodlarını oluşturmalıdırlar.
İki faktörlü doğrulamayı test edin: Ayarlamaları tamamladıktan sonra, bir test kullanıcısıyla SSH erişimini deneyerek iki faktörlü doğrulamanın düzgün çalıştığından emin olun. Kullanıcıların hem şifrelerini girmeleri hem de ikinci doğrulama faktörünü sağlamaları gerektiğini görmelisiniz.
Bu adımlar genel bir rehber niteliğindedir ve kullanılan ikinci doğrulama yöntemine göre değişiklik gösterebilir. İşletim sisteminizin ve seçtiğiniz ikinci doğrulama yönteminin belgelendirmesini ve kaynaklarını incelemek önemlidir. Ayrıca, sunucunuzun güvenliğini sağlamak için iyi parola, politikalar ve diğer güvenlik önlemlerini de gözden geçirmeniz önemlidir. İşte ek adımlar ve önlemler:
Sunucu yapılandırmasını güncelleyin: Sunucunuzun yapılandırmasını güncellemek ve güvenlik açıklarını en aza indirmek için düzenli güncellemeleri uygulayın. İşletim sisteminizi, SSH sunucusunu ve kullanılan diğer bileşenleri güncel tutun.
Güvenlik anahtarlarını kullanın: SSH girişi için güvenlik anahtarlarını kullanmak, ek bir güvenlik katmanı sağlar. Kullanıcılarınızın güvenlik anahtarlarını oluşturmasını ve bunları sunucuda doğru şekilde yapılandırmanızı sağlayın.
Hesap kilitlenmesini yapılandırın: Birden fazla başarısız giriş denemesi sonrası hesapların otomatik olarak kilitlenmesini sağlayan bir politika oluşturun. Bu, brute force saldırılarını ve hesapların kötüye kullanılmasını önlemeye yardımcı olur.
Loglama ve izleme: SSH girişlerini loglamak ve izlemek, potansiyel güvenlik ihlallerini belirleme ve yanıt verme sürecini kolaylaştırır. Sunucunuzda uygun loglama ve izleme ayarlarını yapılandırın.
Kullanıcı eğitimi: İki faktörlü doğrulama hakkında kullanıcıları bilgilendirin ve doğru kullanımı konusunda eğitin. Kullanıcıların ikinci doğrulama faktörlerini güvende tutmaları ve güçlü şifreler kullanmaları konusunda farkındalık yaratın.
Bu adımlar, genel olarak iki faktörlü doğrulamanın kurulum ve yapılandırma sürecini kapsar. Ancak, sunucunuzun özel gereksinimlerine ve kullanılan dağıtıma bağlı olarak bazı farklılıklar olabilir. Dolayısıyla, işletim sisteminizin belgelerini ve ilgili kaynakları dikkatlice incelemeniz, gerektiğinde destek almanız önemlidir.
Sunucuya Nasıl Kurabiliriz?
Adım 1 : Google Authenticator’ı Yükleyin.
1.1. Linux sunucunuza SSH ile bağlanın ve root yetkileriyle oturum açın.
1.2. İkinci doğrulama olarak Google Authenticator kullanacağız, bu nedenle öncelikle “libpam-google-authenticator” paketini yükleyin. Farklı Linux dağıtımları için paket yöneticinizi kullanarak bu paketi yükleyin. Örneğin, Ubuntu veya Debian üzerinde aşağıdaki komutu kullanabilirsiniz:
sudo apt-get install libpam-google-authenticator
Adım 2: SSH Yapılandırmalarını Değiştirin
2.1. SSH yapılandırma dosyasını düzenleyin. Genellikle “/etc/ssh/sshd_config” dosyasıdır. Bu dosyayı bir metin düzenleyiciyle açın:
sudo nano /etc/ssh/sshd_config
2.2. Dosyada “ChallengeResponseAuthentication” satırını bulun ve bunun altına aşağıdaki satırları ekleyin:
AuthenticationMethods publickey,keyboard-interactive
AuthenticationMethods publickey,keyboard-interactive:pam
Bu, SSH’nin hem genel anahtar doğrulamasını hem de klavye etkileşimli doğrulamayı (PAM ile) kabul edeceğini belirtir.
2.3. Dosyayı kaydedin ve düzenleyiciyi kapatın.
Adım 3: Kullanıcılar İçin İkinci Doğrulamayı Ayarlayın
3.1. Kullanıcı hesabınızda iki faktörlü doğrulamayı etkinleştirmek için aşağıdaki komutu çalıştırın:
google-authenticator
Bu komut, Google Authenticator’ı yapılandırmanızı sağlayacaktır.
3.2. Komutu çalıştırdığınızda size bazı sorular sorulacak. Varsayılan seçeneklerle devam etmek için genellikle “y” tuşuna basabilirsiniz. İstediğiniz ayarları yapabilirsiniz.
3.3. Komut tamamlandığında size bir QR kodu, bir doğrulama kodu ve bir acil kurtarma kodu verilecektir. QR kodunu doğrulama uygulamanızda tarayarak sunucuyu ekleyebilirsiniz.
Adım 4: SSH Servisini Yeniden Başlatın
4.1. SSH servisini yeniden başlatmak için aşağıdaki komutu çalıştırın:
sudo systemctl restart sshd
Artık SSH sunucunuzda iki faktörlü doğrulama etkinleştirilmiştir. SSH ile sunucuya bağlanırken kullanıcı adınızı ve şifrenizi girdikten sonra, doğrulama kodunu girmeniz istenecektir. Bu kod, doğrulama uygulamanızda güncellenen her bir oturum için yeniden oluşturulmalıdır.
İki faktörlü doğrulama artık SSH girişlerinde kullanılacaktır. Kullanıcılar, hem genel anahtar doğrulamasını hem de ikinci doğrulama faktörünü sağlamaları gerekecektir.
Ayrıca, her kullanıcının kendi hesabında iki faktörlü doğrulamayı ayarlaması gerekmektedir. Yani, her kullanıcı bu adımları kendi hesapları için takip etmelidir.
Bu adımlar, genel olarak SSH üzerinde iki faktörlü doğrulamayı etkinleştirmek için izlenecek adımları içermektedir. Ancak, işletim sistemi veya dağıtımınıza göre bazı farklılıklar olabilir. Bu durumda, ilgili belgelere ve kaynaklara başvurmanız önerilir. Ayrıca, işletim sistemi ve uygulama güncellemelerini düzenli olarak kontrol etmek ve güvenlik açıklarını kapatmak da önemlidir.