Saugumas yra vienas iš bastionų „CentOS 7“ ir mums patinka administratoriai arba IT darbuotojai, valdantys tokio tipo mašinas, privalo užtikrinti, kad šie saugumo lygiai būtų geresni kiekvieną dieną, nes rizikuojama vartotojų informacija. Yra įvairių saugumo priemonių, kurias galime įgyvendinti „CentOS 7“ Ir vienas iš pagrindinių, į kurį mes sutelksime dėmesį, yra autentifikavimas.
Veiksnys autentifikavimas Tai metodas, kuris nustato, kad vartotojas turi leidimus atlikti tam tikrus veiksmus sistemoje, pvz., Sesijos pradžią ar programos diegimą. . Yra keletas pagrindinių autentifikavimo proceso komponentų, tokių kaip:
Autentifikavimo kanalasTai autentifikavimo sistemos būdas pateikia veiksnį vartotojui kad parodytų savo autorizaciją, pavyzdžiui, kompiuteriui.
Autentifikavimo veiksnysKaip jau minėjome, tai yra būdas tai parodyti mes turime teises Norėdami atlikti veiksmą, pavyzdžiui, slaptažodį.
Mes žinome, kad SSH naudoja iš anksto nustatytus slaptažodžius, tačiau tai yra autentifikavimo veiksnys ir svarbu pridėti kanalą, nes Slaptažodis netinkamose rankose kyla pavojus visam operacijos vientisumui. Šį kartą kalbėsime ir analizuosime, kaip įgyvendinti kelis žinomus autentifikavimo veiksnius kaip URM, nes tai žymiai padidina prieigos saugumą, nes reikalaujama ne tik vieno, bet kelių autentifikavimo parametrų, kad būtų galima tinkamai prisijungti.
Yra įvairių autentifikavimo veiksnių, tokių kaip:
- Slaptažodžiai ir klausimai saugumo.
- Žetonas saugumo.
- Balsas arba pirštų atspaudai skaitmeninis.
1. Kaip įdiegti „Google PAM“
PAM („Pluggable Authentication Module“) iš esmės yra autentifikavimo infrastruktūra „Linux“ aplinkos vartotojams. Šis PAM generuoja TOTP (laiko vienkartinį slaptažodį) ir yra suderinamas su OATH-TOTP programomis, tokiomis kaip „Google Authenticator“.
1 žingsnis
Įdiegimui PAM sistemoje „CentOS 7“ pirmiausia reikės įdiegti EPEL saugyklą („Extra Packages for Enterprise Linux“), tam naudosime šią eilutę. Mes priimame atsisiųsti ir atitinkamai įdiegti paketus.
sudo yum įdiegti https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
DIDELIS
2 žingsnis
Įdiegus EPEL saugyklą, mes įdiegsime PAM „CentOS 7“ naudodami šią eilutę:
sudo yum įdiegti „Google“ autentifikavimo priemonę
DIDELIS
3 žingsnis
Jei šią saugyklą naudojame pirmą kartą, privalome sutikti su slaptažodžio naudojimu apie EPEL bet daugiau nebus prašoma, šioje eilutėje įvedame raidės:
DIDELIS
Matome, kad diegimas buvo sėkmingas. mes įdiegėme PAM „CentOS 7“ naudosime įrankio pagalbą, kad sukurtume TOPT vartotojui, prie kurio bus pridėtas antrasis autentifikavimo veiksnys. Svarbu patikslinti, kad tai raktą turi sukurti vartotojas bet ne sistemos lygiu, nes kiekviena prieiga yra asmeninė.
2. Kaip naudotis „Google PAM“
Dabar pamatysime, kaip paleiskite ir naudokite PAM iš „Google“.
1 žingsnis
Turėdami tai omenyje, mes einame toliau paleiskite „Google“ autentifikavimo priemonę naudojant šią komandą:
„Google“ autentifikatoriusBus parodytas šis langas, kuriame gausime pranešimą, jei saugos žetonai bus pagrįsti laiku, įvesime Y:
DIDELIS
2 žingsnis
PAM tvarko dviejų tipų žetonus, pagrįstus laiku ar nuosekliuoju, nuoseklieji leidžia kodui pradėti tam tikru momentu ir po to didėti kiekvieną kartą. Laiku pagrįstas raktas leidžia atsitiktine tvarka pakeisti kodą po nurodyto laiko. Į paspauskite Y, pamatysime toliau.
Mes matome a QR kodas kuri galime nuskaityti telefonu arba užsirašykite slaptą raktą žemiau. Taip pat galime pamatyti patvirtinimo kodą (6 skaitmenys) keičiasi kas 30 sekundžių.
DIDELIS
PastabaTai gyvybiškai svarbu išsaugokime visus kodus dislokuotas saugioje vietoje.
3 žingsnis
Klausime, kurį matome eilutės pabaigoje, tai rodo, kad raktai bus parašyti ir failas bus atnaujintas. „Google“ autentifikatoriusJei įvesime raidę n, programa bus uždaryta ir programa neveiks.
Įvedame raidę Y, bus rodoma:
DIDELIS
4 žingsnis
Šis klausimas susijęs su tuo, ar mes priimame išvengiame nesėkmių kartojimas, dėl kurio kiekvienas kodas pasibaigia po naudojimo, ši parinktis neleidžia pašaliniams asmenims užfiksuoti šių kodų neteisėtai prieigai. Paspaudę pamatysime šiuos dalykus:
DIDELIS
5 žingsnis
Jei atsakysime, jei atsakysime į šį klausimą iki 8 galiojančių kodų su keturių minučių langu, jei atsakysime, neturėsime tik 3 galiojančių kodų su pusantros minutės langu. Ten mes pasirenkame tinkamiausias variantas būdamas saugiausias. Vėl pamatysime šiuos dalykus.
Šis klausimas susijęs su bando apriboti kur užpuolikas gali pasiekti prieš užblokavimą, daugiausia 3 bandymai. Spustelėkite Y, taigi „CentOS 7“ sukonfigūravome „Google“ autentifikavimo priemonę.
DIDELIS
3. Kaip sukonfigūruoti „OpenSSH“ „CentOS 7“
Šiuo metu mes sukursime antrą SSH ryšys atlikti testus, nes jei užblokuosime vienintelę SSH prieigą, mums bus sunku sukonfigūruoti parametrus.
1 žingsnis
Norėdami redaguoti šias reikšmes, mes pateksime į sshd failą naudodami pageidaujamą redaktorių, įvesime:
sudo nano /etc/pam.d/sshd
DIDELIS
2 žingsnis
Failo pabaigoje pridėsime šią eilutę:
reikalingas aut. pam_google_authenticator.so nullok
DIDELIS
3 žingsnis
Mes laikomės failą naudodami klavišų kombinaciją:
Ctrl + O
Y mes išėjome naudojant tą patį derinį:
„Ctrl“ + X
3 žingsnis
Terminas nullok nurodo PAM, kad šis autentifikavimo veiksnys yra neprivalomas, leidžiantis vartotojams, neturintiems OATH-TOTP, pasiekti jų SSH raktą. Dabar sukonfigūruosime sshd Norėdami leisti tokio tipo autentifikavimą, įvesime šią eilutę:
sudo nano / etc / ssh / sshd_config
DIDELIS
4 žingsnis
- Ten mes surasime šią eilutę:
ChallengeResponseAuthentication
- Mes nekomentuosime linija:
„ChallengeResponseAuthentication“ taip
- Mes pakomentuosime eilutę:
„ChallengeResponseAuthentication“ Nr
DIDELIS
4 žingsnis
Išsaugome pakeitimus naudodami Ctrl + ARBA. ir iš naujo paleidžiame paslaugą naudodami šią eilutę:
sudo systemctl iš naujo paleiskite sshd.service5 žingsnis
Mes galime patvirtinti prieiga prie kito terminalo:
4. Kaip įgalinti SSH tvarkyti MFA sistemoje „CentOS 7“
1 žingsnis
Norėdami tai padaryti, mes vėl pasiekiame failą sshd.config ir paskutinėje failo dalyje pridėsime šią eilutę:
Autentifikavimo metodai viešasis raktas, viešasis slaptažodis, interaktyvi klaviatūra
DIDELIS
2 žingsnis
Išsaugome pakeitimus naudodami Ctrl + ARBA ir tada mes pateksime į PAM sshd failą naudodami šią eilutę:
sudo nano /etc/pam.d/sshd3 žingsnis
Ten mes surasime liniją auth subpack password-auth ir mes jį pakomentuosime (#), kad PAM nereikalautų slaptažodžio norint pasiekti SSH:
DIDELIS
4 žingsnis
Mes laikomės pasikeitimai. Mes perkrauname paslauga naudojant komandą:
sudo systemctl iš naujo paleiskite sshd.service
5. Kaip pridėti trečiąjį autentifikavimo veiksnį „CentOS 7“
1 žingsnis
Matėme, kad buvo pridėti šie autentifikavimo veiksniai:
viešasis raktas (SSH raktas) slaptažodis viešasis raktas (slaptažodis)-interaktyvi klaviatūra (patvirtinimo kodas)2 žingsnis
Jei bandysime prisijungti, matysime aktyvų tik SSH raktą ir patvirtinimo kodą, kad įjungtumėte slaptažodį, pakanka dar kartą pasiekti maršrutą sudo nano /etc/pam.d/sshd ir ten nekomentuok eilutės
auth subpack password-auth.3 žingsnis
Išsaugome pakeitimus ir iš naujo paleisime paslaugą naudodami sudo
systemctl iš naujo paleiskite sshd.serviceKaip matome, kuo daugiau saugos lygių tvarkome „CentOS 7“, tuo daugiau galimybių turėsime turėti stabilią ir patikimą sistemą visiems vartotojams. Jei norite toliau mokytis apie savo sistemos saugumą, žr kaip galite sukonfigūruoti, įjungti arba išjungti ugniasienę „CentOS 7“.
„CentOS7“ užkarda
