Konfigurirajte čimbenike provjere autentičnosti SSH prijave u CentOS -u 7

Sigurnost je jedan od bastiona CentOS 7 i sviđa nam se administratori ili IT osoblje koje upravlja ovom vrstom strojeva mora osigurati da su ove razine sigurnosti svakim danom sve bolje jer su u opasnosti informacije korisnika. Postoje različite sigurnosne mjere u koje možemo uvesti CentOS 7 A jedan od glavnih, na koje ćemo se usredotočiti, je autentifikacija.

Faktor od ovjera To je metoda koja određuje da korisnik ima dopuštenja za izvođenje radnji unutar sustava, poput početka sesije ili instalacije aplikacije, što je bitno jer nam omogućuje centraliziranu kontrolu nad svakim događajem koji se dogodi unutar sustava . Postoje neke temeljne komponente u procesu provjere autentičnosti, kao što su:

Kanal za provjeru autentičnostiTo je način provjere autentičnosti sustava pruža faktor korisniku tako da demonstrira svoju autorizaciju, na primjer, računalo.

Faktor provjere autentičnostiKao što smo spomenuli, to je metoda koja to pokazuje mi imamo prava za izvođenje radnje, na primjer, lozinku.

Znamo da SSH koristi unaprijed definirane lozinke, ali to je faktor provjere autentičnosti i važno je dodati kanal jer lozinka u pogrešne ruke dovodi u opasnost cijeli integritet operacije. Ovaj put ćemo razgovarati i analizirati kako implementirati više poznatih faktora autentifikacije kao MIP, budući da oni značajno povećavaju sigurnost pristupa zahtijevajući ne samo jedan, već nekoliko parametara provjere autentičnosti za ispravnu prijavu.
Postoje različiti čimbenici provjere autentičnosti, kao što su:

  • Lozinke i pitanja sigurnosti.
  • Znak sigurnosti.
  • Glas ili otisak prsta digitalni.
S ovim konceptima započet ćemo proces konfiguriranja više čimbenika provjere autentičnosti u CentOS -u 7.

1. Kako instalirati Google PAM


PAM (Pluggable Authentication Module) je u osnovi infrastruktura za provjeru autentičnosti za korisnike Linux okruženja. Ovaj PAM generira TOTP (jednokratna lozinka zasnovana na vremenu) i kompatibilan je s OATH-TOTP aplikacijama kao što je Google Authenticator.

Korak 1
Za instalaciju PAM na CentOS 7 prvo će biti potrebno instalirati spremište EPEL (dodatni paketi za Enterprise Linux), za to ćemo koristiti sljedeći redak. Prihvacamo preuzimanje i odgovarajuću instalaciju paketa.

 sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

POVEĆAJTE

Korak 2
Nakon što je EPEL spremište instalirano, instalirat ćemo PAM u CentOS 7 koristeći sljedeći redak:

 sudo yum instalirajte google-authentication

POVEĆAJTE

Korak 3
Moramo to učiniti ako prvi put koristimo ovo spremište prihvatiti upotrebu lozinke od EPEL ali neće biti zatraženo ponovo, u ovaj red unosimo slova:

POVEĆAJTE

Vidimo da je instalacija uspjela. imamo instaliran PAM U CentOS -u 7 koristit ćemo pomoć uslužnog programa za generiranje TOPT -a za korisnika kojem će se dodati drugi faktor autentifikacije. Važno je pojasniti da je ovo ključ mora generirati korisnik ali ne na razini sustava budući da je svaki pristup osoban.

2. Kako koristiti Google PAM


Sad ćemo vidjeti kako pokrenite i koristite PAM od Googlea.

Korak 1
Imajući ovo na umu nastavljamo pokrenite google-authentication pomoću sljedeće naredbe:

 google-autentifikator
Prikazat će se sljedeći prozor u kojem dobivamo poruku ako se sigurnosni tokeni temelje na vremenu, unosimo Y:

POVEĆAJTE

Korak 2
PAM obrađuje dvije vrste tokena, temeljene na vremenu ili u nizu, sekvencijalne omogućuju kôd da počne u određenoj točki, a zatim se povećava pri svakoj uporabi. Vremenski žeton omogućuje nasumično mijenjanje koda nakon određenog vremena. Prema pritisnite Y, vidjet ćemo sljedeće.

Vidimo a QR kod koji možemo skenirati telefonom ili zapišite tajni ključ ispod. Na isti način možemo vidjeti kontrolni kod (6 znamenki) koji mijenja se svakih 30 sekundi.

POVEĆAJTE

BilješkaOd vitalnog je značaja da spremimo sve kodove rasporediti na sigurno mjesto.

Korak 3
U pitanju koje vidimo na kraju retka, to znači da će ključevi biti zapisani i datoteka će biti ažurirana. google-autentifikatorAko unesemo slovo n, program će se zatvoriti i aplikacija neće raditi.
Unosimo slovo Y, prikazat će se sljedeće:

POVEĆAJTE

Korak 4
Ovo se pitanje odnosi na to prihvaćamo li izbjegavamo neuspjeh ponavljanje zbog kojeg svaki kôd istječe nakon korištenja, ova opcija sprječava vanjske osobe da uhvate te kodove radi neovlaštenog pristupa. Pritiskom i vidjet ćemo sljedeće:

POVEĆAJTE

Korak 5
Ako odgovorimo ako na ovo pitanje dopuštamo do 8 valjanih kodova s ​​vremenskim intervalom od četiri minute, ako odgovorimo, nećemo imati samo 3 valjana koda s prozorom od jedne minute i pol. Tamo odabiremo najprikladnija opcija biti najsigurniji. Vidjet ćemo opet sljedeće.

Ovo se pitanje odnosi na pokušava ograničenje kojima napadač može pristupiti prije blokiranja, najviše su 3 pokušaja. Kliknite na Y, stoga smo u CentOS-u 7 konfigurirali google-autentifikator.

POVEĆAJTE

3. Kako konfigurirati OpenSSH na CentOS 7


U ovom trenutku stvorit ćemo drugu SSH veza za provođenje testova jer ako blokiramo jedini pristup SSH -u, imat ćemo poteškoća s konfiguracijom parametara.

Korak 1
Za uređivanje ovih vrijednosti pristupit ćemo sshd datoteci pomoću željenog uređivača, unijet ćemo sljedeće:

 sudo nano /etc/pam.d/sshd

POVEĆAJTE

Korak 2
Na kraju datoteke dodat ćemo sljedeći redak:

 auth potrebna mem_google_authenticator.so nullok

POVEĆAJTE

Korak 3
Zadržavamo datoteku pomoću kombinacije tipki:

Ctrl + O

Y Izašli smo van istog koristeći kombinaciju:

Ctrl + X

Korak 3
Uvjet nullok kaže PAM-u da je ovaj faktor provjere autentičnosti opcijski dopuštajući korisnicima bez OATH-TOTP-a pristup pomoću njihovog SSH ključa. Sada konfigurirat ćemo sshd Kako bismo dopustili ovu vrstu autentifikacije, za to ćemo unijeti sljedeći redak:

 sudo nano / etc / ssh / sshd_config

POVEĆAJTE

Korak 4

  • Tamo locirat ćemo sljedeći redak:
 ChallengeResponseAuthentication
  • Komentirat ćemo crta:
 ChallengeResponseAuthentication da
  • Komentirat ćemo liniju:
 ChallengeResponseAuthentication br

POVEĆAJTE

Korak 4
Promjene spremamo pomoću Ctrl + ILI. i ponovno pokrećemo uslugu koristeći sljedeći redak:

 sudo systemctl ponovno pokrenite sshd.service
Korak 5
Možemo potvrditi povezivost pristupa s drugog terminala:

4. Kako omogućiti SSH -u da rukuje MFA -om u CentOS -u 7

Korak 1
Za to ponovo pristupamo datoteci sshd.config i u završni dio datoteke dodamo sljedeći redak:

 AuthenticationMethods javni ključ, lozinka javni ključ, interaktivna tipkovnica 

POVEĆAJTE

Korak 2
Promjene spremamo pomoću Ctrl + ILI i tada ćemo pristupiti PAM sshd datoteci pomoću sljedećeg retka:

 sudo nano /etc/pam.d/sshd
Korak 3

Tamo ćemo locirati liniju auth podgrupa lozinka-auth i mi ćemo to komentirati (#) tako da PAM ne zahtijeva lozinku za pristup putem SSH -a:

POVEĆAJTE

Korak 4
Zadržavamo promjene. Ponovno se pokrećemo usluga pomoću naredbe:

 sudo systemctl ponovno pokrenite sshd.service

5. Kako dodati treći faktor provjere autentičnosti u CentOS 7

Korak 1
Mogli smo vidjeti da su dodani sljedeći čimbenici provjere autentičnosti:

 javni ključ (ključ SSH) lozinka javni ključ (lozinka) tipkovnica-interaktivna (kontrolni kôd)
Korak 2
Ako se pokušamo povezati, vidjet ćemo samo aktivni SSH ključ i kontrolni kôd, da biste omogućili lozinku, dovoljno je ponovno pristupiti ruti sudo nano /etc/pam.d/sshd i tu raskomentirajte liniju
 auth podgrupa lozinka-auth.
Korak 3
Spremamo promjene i ponovno ćemo pokrenuti uslugu koristeći sudo
 systemctl ponovno pokrenite sshd.service 
Kao što vidimo, što više razina sigurnosti obrađujemo u CentOS -u 7, to ćemo imati više mogućnosti za stabilan i pouzdan sustav za sve korisnike. Za nastavak učenja o sigurnosti vašeg sustava, pogledajte kako možete konfigurirati, omogućiti ili onemogućiti vatrozid u CentOS -u 7.

CentOS7 vatrozid

wave wave wave wave wave