Конфигурирайте фактори за удостоверяване при влизане в SSH в CentOS 7

Сигурността е един от бастионите на CentOS 7 и ние харесваме администратори или ИТ персоналът, който управлява този тип машини, трябва да гарантира, че тези нива на сигурност са по -добри всеки ден, тъй като това, което е изложено на риск, е информацията на потребителите. Има различни мерки за сигурност, които можем да приложим CentOS 7 И един от основните, върху който ще се спрем, е удостоверяването.

Фактор на удостоверяване Това е метод, който определя, че потребителят има разрешения да извърши действие в системата, като например началото на сесията или инсталирането на приложение, това е от съществено значение, тъй като ни позволява да имаме централизиран контрол върху всяко събитие, което се случва в системата . Има някои основни компоненти в процеса на удостоверяване, като например:

Канал за удостоверяванеТова е начинът на системата за удостоверяване предоставя фактор на потребителя така че да демонстрира своето разрешение, например компютър.

Фактор за удостоверяванеКакто споменахме, това е методът за показване на това имаме права за да извършите действието, например парола.

Знаем, че SSH използва предварително дефинирани пароли, но това е фактор за удостоверяване и е важно да се добави канал, тъй като парола в неподходящи ръце излага на риск цялостността на операцията. Този път ще говорим и анализираме как да приложим множество известни фактори за удостоверяване като МИД, тъй като те значително повишават сигурността на достъпа, като изискват не само един, но и няколко параметъра за удостоверяване, за да влезете правилно.
Има различни фактори за удостоверяване като:

  • Пароли и въпроси на сигурността.
  • Токен на сигурността.
  • Глас или пръстов отпечатък дигитален.
С тези концепции ще стартираме процеса на конфигуриране на множество фактори за удостоверяване в CentOS 7.

1. Как да инсталирате Google PAM


PAM (Pluggable Authentication Module) е основно инфраструктура за удостоверяване за потребители на Linux среди. Този PAM генерира TOTP (еднократна парола за време) и е съвместим с приложения на OATH-TOTP като Google Authenticator.

Етап 1
За инсталиране PAM на CentOS 7 първо ще е необходимо да инсталираме хранилището на EPEL (допълнителни пакети за Enterprise Linux), за това ще използваме следния ред. Приемаме изтеглянето и съответната инсталация на пакетите.

 sudo yum инсталирайте https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

Увеличете

Стъпка 2
След като хранилището на EPEL е инсталирано, ще инсталираме PAM в CentOS 7, като използваме следния ред:

 sudo yum инсталирайте google-authentication

Увеличете

Стъпка 3
Ако за първи път използваме това хранилище, трябва приемете използването на паролата на EPEL но няма да бъде поискана отново, в този ред въвеждаме букви:

Увеличете

Виждаме, че инсталацията е успешна. имаме инсталиран PAM В CentOS 7 ще използваме помощта на помощната програма за генериране на TOPT за потребителя, към който ще бъде добавен втори фактор за удостоверяване. Важно е да се изясни, че това ключът трябва да бъде генериран от потребителя но не на системно ниво, тъй като всеки достъп е личен.

2. Как да използвате Google PAM


Сега ще видим как стартирайте и използвайте PAM на Google.

Етап 1
Имайки това предвид, пристъпваме към стартирайте google-authentator като използвате следната команда:

 google-автентификатор
Следният прозорец ще се покаже, където получаваме съобщението, ако маркерите за сигурност ще се основават на времето, ние влизаме Д:

Увеличете

Стъпка 2
PAM обработва два типа токени, базирани на време или последователни, последователните позволяват на кода да започне в точка и след това да се увеличава при всяка употреба. Токенът, базиран на времето, позволява кода да бъде променен на случаен принцип след определено време. Към натиснете Y, ще видим следното.

Виждаме а QR код който можем да сканираме с телефона си или запишете секретния ключ точно по -долу. По същия начин можем да видим кода за потвърждение (6 цифри), който се променя на всеки 30 секунди.

Увеличете

ЗабележкаЖизненоважно е това нека запазим всички кодове разположени на безопасно място.

Стъпка 3
Във въпроса, който виждаме в края на реда, той показва, че ключовете ще бъдат записани и файлът ще бъде актуализиран. google-автентификаторАко въведем буквата n, програмата ще бъде затворена и приложението няма да работи.
Въвеждаме буквата Y, ще се покаже следното:

Увеличете

Стъпка 4
Този въпрос се отнася до това дали приемаме избягваме провал повторение, при което всеки код изтича след използване, тази опция предотвратява външни лица да улавят тези кодове за неоторизиран достъп. Като натиснете и ще видим следното:

Увеличете

Стъпка 5
Ако отговорим, ако на този въпрос допускаме до 8 валидни кода с прозорец от четири минути, ако отговорим, няма да имаме само 3 валидни кода с прозорец от една минута и половина. Там избираме най -подходящият вариант като най -безопасният. Ще видим отново следното.

Този въпрос се отнася до се опитва да се ограничи в който нападателят може да получи достъп, преди да бъде блокиран, максимумът е 3 опита. Кликнете върху Y, по този начин сме конфигурирали google-authentication в CentOS 7.

Увеличете

3. Как да конфигурирате OpenSSH на CentOS 7


В този момент ще създадем втори SSH връзка за провеждане на тестовете, тъй като ако блокираме единствения SSH достъп, ще имаме затруднения при конфигурирането на параметрите.

Етап 1
За да редактираме тези стойности, ще получим достъп до sshd файла, като използваме предпочитания редактор, ще въведем следното:

 sudo nano /etc/pam.d/sshd

Увеличете

Стъпка 2
В края на файла ще добавим следния ред:

 auth изисква pam_google_authenticator.so nullok

Увеличете

Стъпка 3
Ние пазим файла, използвайки комбинацията от клавиши:

Ctrl + O

Y излязохме на същото, използвайки комбинацията:

Ctrl + X

Стъпка 3
Терминът nullok казва на PAM, че този фактор за удостоверяване е незадължителен, позволяващ на потребителите без OATH-TOTP да имат достъп чрез техния SSH ключ. Сега ще конфигурираме sshd За да разрешим този тип удостоверяване, за това ще въведем следния ред:

 sudo nano / etc / ssh / sshd_config

Увеличете

Стъпка 4

  • Там ще локализираме следния ред:
 ChallengeResponseAuthentication
  • Ще коментираме линията:
 ChallengeResponseAuthentication да
  • Ще коментираме реда:
 ChallengeResponseAuthentication no

Увеличете

Стъпка 4
Запазваме промените с помощта Ctrl + ИЛИ. и рестартираме услугата, като използваме следния ред:

 sudo systemctl рестартирайте sshd.service
Стъпка 5
Ние можем утвърждавам достъп до връзка от друг терминал:

4. Как да активирате SSH да обработва MFA в CentOS 7

Етап 1
За целта отново влизаме в файла sshd.config и в последната част на файла ще добавим следния ред:

 Методи за удостоверяване публичен ключ, парола публичен ключ, интерактивна клавиатура 

Увеличете

Стъпка 2
Запазваме промените с помощта Ctrl + ИЛИ и след това ще получим достъп до PAM sshd файла, като използваме следния ред:

 sudo nano /etc/pam.d/sshd
Стъпка 3

Там ще намерим линията auth подгрупа парола-авт и ще го коментираме (#), така че PAM не изисква паролата за достъп от SSH:

Увеличете

Стъпка 4
Ние пазим промените. Рестартираме услугата с помощта на командата:

 sudo systemctl рестартирайте sshd.service

5. Как да добавите трети фактор за удостоверяване в CentOS 7

Етап 1
Можехме да видим, че са добавени следните фактори за удостоверяване:

 публичен ключ (ключ SSH) парола публичен ключ (парола) клавиатура-интерактивна (код за потвърждение)
Стъпка 2
Ако се опитаме да се свържем, ще видим активен само SSH ключа и кода за потвърждение, за да активираме паролата, достатъчно е да влезем отново в маршрута sudo nano /etc/pam.d/sshd и там разкомментирайте реда
 auth подгрупа парола-авт.
Стъпка 3
Запазваме промените и ще рестартираме услугата, използвайки sudo
 systemctl рестартирайте sshd.service 
Както виждаме, колкото повече нива на защита обработваме в CentOS 7, толкова повече възможности ще имаме, за да имаме стабилна и надеждна система за всички потребители. За да продължите да научавате за сигурността на вашата система, вижте как можете да конфигурирате, активирате или деактивирате защитната стена в CentOS 7.

Защитна стена CentOS7

wave wave wave wave wave