Securitatea este unul dintre bastioanele CentOS 7 și ne place administratori sau personalul IT care administrează acest tip de mașini trebuie să se asigure că aceste niveluri de securitate sunt mai bune în fiecare zi, deoarece ceea ce este în pericol este informația utilizatorilor. Există diferite măsuri de securitate în care putem implementa CentOS 7 Și una dintre principalele, pe care ne vom concentra, este autentificarea.
Un factor de autentificare Este o metodă care determină faptul că un utilizator are permisiunile de a efectua o acțiune în sistem, cum ar fi începutul sesiunii sau instalarea unei aplicații, acest lucru este esențial, deoarece ne permite să avem control centralizat asupra fiecărui eveniment care are loc în sistem Există câteva componente fundamentale în procesul de autentificare, cum ar fi:
Canal de autentificareEste modul în care sistemul de autentificare oferă un factor utilizatorului astfel încât să-și demonstreze autorizarea, de exemplu, un computer.
Factorul de autentificareDupă cum am menționat, este metoda de a arăta acest lucru avem drepturile pentru a efectua acțiunea, de exemplu, o parolă.
Știm că SSH folosește parole predefinite, dar acesta este un factor de autentificare și este important să adăugați un canal, deoarece parola în mâini greșite pune în pericol întreaga integritate a operației. De data aceasta vom vorbi și vom analiza cum să implementăm mai mulți factori de autentificare, cunoscuți ca MAE, deoarece acestea sporesc în mod special securitatea accesului necesitând nu numai unul, ci mai mulți parametri de autentificare pentru a vă conecta corect.
Există diferiți factori de autentificare, cum ar fi:
- Parole și întrebări de securitate.
- Jeton de securitate.
- Voce sau amprentă digital.
1. Cum se instalează Google PAM
PAM (Pluggable Authentication Module) este practic o infrastructură de autentificare pentru utilizatorii de medii Linux. Acest PAM generează TOTP (Parolă unică bazată pe timp) și este compatibil cu aplicațiile OATH-TOTP precum Google Authenticator.
Pasul 1
Pentru instalare PAM pe CentOS 7 mai întâi va fi necesar să instalați depozitul EPEL (pachete suplimentare pentru Enterprise Linux), pentru aceasta vom folosi următoarea linie. Noi acceptam descărcarea și instalarea respectivă a pachetelor.
instalați sudo yum https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
MARI
Pasul 2
Odată instalat depozitul EPEL, vom instala PAM în CentOS 7 folosind următoarea linie:
sudo yum instalați google-authenticator
MARI
Pasul 3
Dacă este prima dată când folosim acest depozit, trebuie acceptați utilizarea parolei de EPEL dar nu va fi solicitat din nou, în această linie intrăm în scrisori:
MARI
Putem vedea că instalarea a reușit. avem instalat PAM În CentOS 7 vom folosi ajutorul utilitarului pentru a genera TOPT pentru utilizator la care se va adăuga un al doilea factor de autentificare. Este important să clarificăm faptul că acest lucru cheia trebuie să fie generată de utilizator dar nu la nivel de sistem, deoarece fiecare acces este personal.
2. Cum se utilizează Google PAM
Acum vom vedea cum rulați și utilizați PAM de la Google.
Pasul 1
Având în vedere acest lucru, continuăm pornește google-authenticator folosind următoarea comandă:
google-autentificatorUrmătoarea fereastră va fi afișată în cazul în care vom obține mesajul dacă jetoanele de securitate se vor baza pe timp, intrăm Y:
MARI
Pasul 2
PAM gestionează două tipuri de jetoane, în funcție de timp sau secvențiale, cele secvențiale permit codului să înceapă dintr-un punct și apoi să crească pe măsură ce fiecare utilizare. Jetonul bazat pe timp permite codului să fie modificat aleatoriu după un timp specificat. Pentru apăsați Y, vom vedea următoarele.
Vedem un Cod QR care putem scana cu telefonul nostru sau scrieți cheia secretă chiar mai jos. În același mod putem vedea codul de verificare (6 cifre) care se schimbă la fiecare 30 de secunde.
MARI
NotăEste vital ca să salvăm toate codurile desfășurate într-un loc sigur.
Pasul 3
În întrebarea pe care o vedem la sfârșitul liniei, aceasta indică faptul că cheile vor fi scrise și fișierul va fi actualizat. google-autentificatorDacă introducem litera n, programul va fi închis și aplicația nu va funcționa.
Intrăm scrisoarea Da, vor fi afișate următoarele:
MARI
Pasul 4
Această întrebare se referă la dacă acceptăm evităm un eșec repetarea care face ca fiecare cod să expire după ce a fost utilizat, această opțiune împiedică persoanele din afară să capteze aceste coduri pentru acces neautorizat. Apăsând și vom vedea următoarele:
MARI
Pasul 5
Dacă răspundem dacă la această întrebare acceptăm cu până la 8 coduri valide cu o fereastră de patru minute, dacă răspundem, nu vom avea doar 3 coduri valide cu o fereastră de un minut și jumătate. Acolo selectăm cea mai potrivită opțiune fiind cel mai sigur. Vom vedea din nou următoarele.
Această întrebare se referă la încearcă limitarea în care un atacator poate accesa înainte de a fi blocat, maximul este de 3 încercări. Click pe Da, astfel, am configurat google-authenticator în CentOS 7.
MARI
3. Cum se configurează OpenSSH pe CentOS 7
În acest moment vom crea o a doua Conexiune SSH pentru a efectua testele, deoarece dacă blocăm singurul acces SSH vom avea dificultăți în configurarea parametrilor.
Pasul 1
Pentru a edita aceste valori vom accesa fișierul sshd folosind editorul preferat, vom introduce următoarele:
sudo nano /etc/pam.d/sshd
MARI
Pasul 2
La sfârșitul fișierului vom adăuga următoarea linie:
auth necesită pam_google_authenticator.so nullok
MARI
Pasul 3
păstrăm fișierul utilizând combinația de taste:
Ctrl + O
Da am ieșit afară la fel folosind combinația:
Ctrl + X
Pasul 3
Termenul nullok îi spune lui PAM că acest factor de autentificare este opțional, permițând utilizatorilor fără OATH-TOTP să acceseze folosind cheia SSH. Acum vom configura sshd Pentru a permite acest tip de autentificare, pentru aceasta vom introduce următoarea linie:
sudo nano / etc / ssh / sshd_config
MARI
Pasul 4
- Acolo vom localiza următoarea linie:
ChallengeResponseAuthentication
- Vom descomenta linia:
ChallengeResponseAuthentication da
- Vom comenta linia:
ChallengeResponseAuthentication nr
MARI
Pasul 4
Salvăm modificările folosind Ctrl + SAU. și repornim serviciul folosind următoarea linie:
sudo systemctl reporniți sshd.servicePasul 5
Putem valida conectivitate accesând de la un alt terminal:
4. Cum se permite SSH să gestioneze MFA în CentOS 7
Pasul 1
Pentru aceasta accesăm din nou fișierul sshd.config și în partea finală a fișierului vom adăuga următoarea linie:
Autentificare Metode publicitare, parolă publicare, tastatură interactivă
MARI
Pasul 2
Salvăm modificările folosind Ctrl + SAU și apoi vom accesa fișierul PAM sshd folosind următoarea linie:
sudo nano /etc/pam.d/sshdPasul 3
Acolo vom localiza linia auth substack password-auth și îl vom comenta (#) astfel încât PAM să nu necesite parola pentru acces de către SSH:
MARI
Pasul 4
păstrăm schimbarile. Repornim serviciul folosind comanda:
sudo systemctl reporniți sshd.service
5. Cum se adaugă un al treilea factor de autentificare în CentOS 7
Pasul 1
Am putut vedea că au fost adăugați următorii factori de autentificare:
publickey (cheie SSH) parolă publickey (parolă) interactivă de la tastatură (cod de verificare)Pasul 2
Dacă încercăm să ne conectăm, vom vedea doar cheia SSH și codul de verificare active, pentru a activa parola este suficient să accesăm din nou ruta. sudo nano /etc/pam.d/sshd și acolo descomentați linia
auth substack password-auth.Pasul 3
Salvăm modificările și vom reporni serviciul folosind sudo
systemctl reporniți sshd.serviceDupă cum vedem, cu cât gestionăm mai multe niveluri de securitate în CentOS 7, cu atât vom avea mai multe oportunități de a avea un sistem stabil și fiabil pentru toți utilizatorii. Pentru a continua să aflați despre securitatea sistemului dvs., consultați cum puteți configura, activa sau dezactiva paravanul de protecție în CentOS 7.
Paravan de protecție CentOS7