Konfigurer SSH login -godkendelsesfaktorer i CentOS 7

Sikkerhed er en af ​​bastionerne i CentOS 7 og vi kan lide administratorer eller it -personale, der administrerer denne type maskiner, skal sikre, at disse sikkerhedsniveauer er bedre hver dag, da det, der er i fare, er brugernes information. Der er forskellige sikkerhedsforanstaltninger, som vi kan implementere i CentOS 7 Og en af ​​de vigtigste, som vi vil fokusere på, er autentificering.

En faktor på Godkendelse Det er en metode, der bestemmer, at en bruger har tilladelser til at udføre en handling i systemet, såsom starten af ​​en session eller installation af et program, dette er vigtigt, da det giver os mulighed for at have centraliseret kontrol over hver hændelse, der opstår i systemet . Der er nogle grundlæggende komponenter i godkendelsesprocessen, såsom:

GodkendelseskanalDet er den måde, godkendelsessystemet leverer en faktor til brugeren så det viser sin autorisation, f.eks. en computer.

GodkendelsesfaktorSom vi har nævnt, er det metoden til at vise det vi har rettighederne for at udføre handlingen, f.eks. en adgangskode.

Vi ved, at SSH bruger foruddefinerede adgangskoder, men dette er en godkendelsesfaktor, og det er vigtigt at tilføje en kanal, da en adgangskode i de forkerte hænder udgør hele operationens integritet i fare. Denne gang vil vi tale og analysere, hvordan man implementerer flere godkendelsesfaktorer, kendt som MFA, da disse især øger adgangssikkerheden ved ikke kun at kræve én, men flere godkendelsesparametre for at logge korrekt ind.
Der er forskellige godkendelsesfaktorer, såsom:

  • Adgangskoder og spørgsmål af sikkerhed.
  • Polet af sikkerhed.
  • Stemme eller fingeraftryk digital.
Med disse begreber starter vi processen med at konfigurere flere godkendelsesfaktorer i CentOS 7.

1. Sådan installeres Google PAM


PAM (Pluggable Authentication Module) er dybest set en godkendelsesinfrastruktur for brugere af Linux -miljøer. Denne PAM genererer TOTP (tidsbaseret engangsadgangskode) og er kompatibel med OATH-TOTP-applikationer som f.eks. Google Authenticator.

Trin 1
Til installation PAM på CentOS 7 først vil det være nødvendigt at installere EPEL -depotet (ekstra pakker til Enterprise Linux), til dette vil vi bruge følgende linje. Vi accepterer download og respektive installation af pakkerne.

 sudo yum installer https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

FORSTØRRE

Trin 2
Når EPEL -depotet er installeret, installerer vi PAM i CentOS 7 ved hjælp af følgende linje:

 sudo yum installer google-authenticator

FORSTØRRE

Trin 3
Hvis det er første gang, at vi bruger dette lager skal vi accepter brugen af ​​adgangskoden af EPEL men vil ikke blive anmodet om igen, i denne linje indtaster vi bogstaver:

FORSTØRRE

Vi kan se, at installationen har været vellykket. vi har installeret PAM I CentOS 7 vil vi bruge hjælp fra hjælpeprogrammet til at generere TOPT for brugeren, hvortil en anden godkendelsesfaktor vil blive tilføjet. Det er vigtigt at præcisere, at dette nøglen skal være brugergenereret men ikke på systemniveau, da hver adgang er personlig.

2. Sådan bruges Google PAM


Nu vil vi se hvordan kør og brug PAM af Google.

Trin 1
Med dette i tankerne går vi videre til start google-authenticator ved hjælp af følgende kommando:

 google-godkendelse
Det følgende vindue vises, hvor vi får beskeden, hvis sikkerhedstokenerne vil være baseret på tid, indtaster vi Y:

FORSTØRRE

Trin 2
PAM håndterer to typer token, baseret på tid eller sekventiel, de sekventielle tillader, at koden starter på et tidspunkt og derefter øges for hver brug. Det tidsbaserede token tillader, at koden tilfældigt ændres efter en bestemt tid. Til tryk på Y, vi vil se følgende.

Vi ser a QR kode hvilken vi kan scanne med vores telefon eller skriv den hemmelige nøgle ned lige herunder. På samme måde kan vi se verifikationskoden (6 cifre), som ændres hvert 30. sekund.

FORSTØRRE

BemærkDet er afgørende, at lad os gemme alle koder indsat et sikkert sted.

Trin 3
I det spørgsmål, vi ser for enden af ​​linjen, angiver det, at nøglerne vil blive skrevet, og filen vil blive opdateret. google-godkendelseHvis vi indtaster bogstavet n, lukkes programmet, og applikationen fungerer ikke.
Vi indtaster brevet Y, vil følgende blive vist:

FORSTØRRE

Trin 4
Dette spørgsmål refererer til, om vi accepterer vi undgår en fiasko gentagelse, der får hver kode til at udløbe efter at have været brugt, forhindrer denne mulighed udenforstående i at fange disse koder for uautoriseret adgang. Ved at trykke på og vil vi se følgende:

FORSTØRRE

Trin 5
Hvis vi svarer, hvis vi tillader dette spørgsmål med op til 8 gyldige koder med et vindue på fire minutter, hvis vi svarer, har vi ikke kun 3 gyldige koder med et vindue på halvandet minut. Der vælger vi mest passende løsning være den sikreste. Vi ser igen følgende.

Dette spørgsmål henviser til forsøger begrænsning hvor en angriber kan få adgang, før den blokeres, er maksimum 3 forsøg. Klik på Y, Derfor har vi konfigureret google-authenticator i CentOS 7.

FORSTØRRE

3. Sådan konfigureres OpenSSH på CentOS 7


På dette tidspunkt vil vi oprette en anden SSH -forbindelse at udføre testene, da hvis vi blokerer den eneste SSH -adgang, vil vi have svært ved at konfigurere parametrene.

Trin 1
For at redigere disse værdier får vi adgang til sshd -filen ved hjælp af den foretrukne editor, vi indtaster følgende:

 sudo nano /etc/pam.d/sshd

FORSTØRRE

Trin 2
I slutningen af ​​filen tilføjer vi følgende linje:

 autorisation kræves pam_google_authenticator.so nullok

FORSTØRRE

Trin 3
Vi beholder filen ved hjælp af tastekombinationen:

Ctrl + O.

Y vi gik ud af det samme ved hjælp af kombinationen:

Ctrl + X

Trin 3
Begrebet nullok fortæller PAM, at denne godkendelsesfaktor er valgfri, så brugere uden OATH-TOTP kan få adgang til deres SSH-nøgle. Nu vi konfigurerer sshd For at tillade denne type godkendelse skal vi indtaste følgende linje for dette:

 sudo nano / etc / ssh / sshd_config

FORSTØRRE

Trin 4

  • Der vi finder følgende linje:
 ChallengeResponseAuthentication
  • Vi vil kommentere linjen:
 ChallengeResponseAuthentication ja
  • Vi vil kommentere linjen:
 ChallengeResponseAutentifikationsnr

FORSTØRRE

Trin 4
Vi gemmer ændringerne vha Ctrl + ELLER. og vi genstarter tjenesten ved hjælp af følgende linje:

 sudo systemctl genstart sshd.service
Trin 5
Vi kan validere forbindelse fra en anden terminal:

4. Sådan aktiveres SSH til at håndtere MFA i CentOS 7

Trin 1
Til dette får vi adgang til sshd.config -filen igen, og i den sidste del af filen tilføjer vi følgende linje:

 AuthenticationMethods publickey, password publickey, tastatur-interaktiv 

FORSTØRRE

Trin 2
Vi gemmer ændringerne vha Ctrl + ELLER og derefter får vi adgang til PAM sshd -filen ved hjælp af følgende linje:

 sudo nano /etc/pam.d/sshd
Trin 3

Der finder vi linjen auth substack password-auth og vi vil kommentere det (#), så PAM ikke kræver adgangskoden for adgang fra SSH:

FORSTØRRE

Trin 4
Vi beholder ændringerne. Vi genstarter tjenesten ved hjælp af kommandoen:

 sudo systemctl genstart sshd.service

5. Sådan tilføjes en tredje godkendelsesfaktor i CentOS 7

Trin 1
Vi kunne se, at følgende godkendelsesfaktorer blev tilføjet:

 publickey (SSH-nøgle) adgangskode publickey (Password) tastatur-interaktiv (Verifikationskode)
Trin 2
Hvis vi prøver at oprette forbindelse, ser vi kun SSH -nøglen og verifikationskoden aktiv, for at aktivere adgangskoden er det nok til at få adgang til ruten igen sudo nano /etc/pam.d/sshd og der kommenterer linjen
 auth substack password-auth.
Trin 3
Vi gemmer ændringerne, og vi vil genstarte tjenesten ved hjælp af sudo
 systemctl genstart sshd.service 
Som vi ser, jo flere sikkerhedsniveauer vi håndterer i CentOS 7, jo flere muligheder får vi for at have et stabilt og pålideligt system til alle brugere. For at blive ved med at lære om sikkerhed på dit system, se hvordan du kan konfigurere, aktivere eller deaktivere Firewall i CentOS 7.

CentOS7 Firewall

wave wave wave wave wave