Konfigurujte faktory autentizace přihlášení SSH v CentOS 7

Konfigurujte faktory autentizace přihlášení SSH v CentOS 7 | Linux / Unix 2024
Konfigurujte faktory autentizace přihlášení SSH v CentOS 7 | Linux / Unix 2024

Bezpečnost je jednou z bašt CentOS 7 a máme rádi správci nebo pracovníci IT, kteří spravují tento typ strojů, musí zajistit, aby tyto úrovně zabezpečení byly každý den lepší, protože rizikové jsou informace uživatelů. Můžeme implementovat různá bezpečnostní opatření CentOS 7 A jednou z hlavních, na kterou se zaměříme, je autentizace.

Faktor ověřování Je to metoda, která určuje, že uživatel má oprávnění k provedení akce v systému, jako je zahájení relace nebo instalace aplikace, což je zásadní, protože nám to umožňuje centralizovanou kontrolu nad každou událostí, ke které v systému dojde . V procesu ověřování existují některé základní součásti, jako například:

Ověřovací kanálJe to způsob autentizačního systému přináší uživateli faktor tak, že předvádí svou autorizaci, například počítač.

Ověřovací faktorJak jsme zmínili, je to metoda, jak to ukázat máme práva k provedení akce, například hesla.

Víme, že SSH používá předdefinovaná hesla, ale toto je faktor autentizace a je důležité přidat kanál, protože Heslo ve špatných rukou ohrožuje celou integritu operace. Tentokrát si promluvíme a analyzujeme, jak implementovat více známých autentizačních faktorů jako MFA, protože tyto zejména zvyšují zabezpečení přístupu tím, že ke správnému přihlášení vyžadují nejen jeden, ale několik parametrů autentizace.
Existují různé faktory autentizace, jako například:

  • Hesla a otázky bezpečnosti.
  • Žeton bezpečnosti.
  • Hlas nebo otisk prstu digitální.
S těmito koncepty zahájíme proces konfigurace více faktorů autentizace v CentOS 7.

1. Jak nainstalovat Google PAM


PAM (Pluggable Authentication Module) je v podstatě ověřovací infrastruktura pro uživatele prostředí Linux. Tento PAM generuje TOTP (časově založené jednorázové heslo) a je kompatibilní s aplikacemi OATH-TOTP, jako je Google Authenticator.

Krok 1
Pro instalaci PAM na CentOS 7 nejprve bude nutné nainstalovat úložiště EPEL (Extra Packages for Enterprise Linux), k tomu použijeme následující řádek. Přijímáme stažení a příslušná instalace balíčků. 

 sudo yum nainstalovat https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

ZVĚTŠIT

Krok 2
Jakmile je úložiště EPEL nainstalováno, nainstalujeme PAM do CentOS 7 pomocí následujícího řádku: 

 sudo yum nainstalovat google-authenticator

ZVĚTŠIT

Krok 3
Pokud toto úložiště používáme poprvé, musíme souhlasit s použitím hesla z EPEL ale nebude znovu požadován, do tohoto řádku zadáme písmena:

ZVĚTŠIT

Vidíme, že instalace proběhla úspěšně. máme nainstalovaný PAM V CentOS 7 použijeme pomoc obslužného programu ke generování TOPT pro uživatele, ke kterému bude přidán druhý ověřovací faktor. Je důležité objasnit, že toto klíč musí být generován uživatelem ale ne na úrovni systému, protože každý přístup je osobní.

2. Jak používat Google PAM


Nyní uvidíme jak spusťte a použijte PAM společnosti Google.

Krok 1
S ohledem na to pokračujeme spusťte google-authenticator pomocí následujícího příkazu: 

 google-autentizátor
Zobrazí se následující okno, kde obdržíme zprávu, pokud budou tokeny zabezpečení založeny na čase, zadáme Y:

ZVĚTŠIT

Krok 2
PAM zpracovává dva typy tokenů, založené na čase nebo sekvenčně, sekvenční umožňují kódu začít v určitém bodě a poté se zvyšovat při každém použití. Časový token umožňuje, aby byl kód po zadaném čase náhodně upraven. Do stiskněte Y, uvidíme následující.

Vidíme a QR kód který můžeme skenovat pomocí našeho telefonu nebo si zapište tajný klíč hned níže. Stejným způsobem vidíme ověřovací kód (6 číslic), který mění každých 30 sekund.

ZVĚTŠIT

PoznámkaTo je životně důležité uložíme všechny kódy rozmístěny na bezpečném místě.

Krok 3
V otázce, kterou vidíme na konci řádku, označuje, že klíče budou zapsány a soubor bude aktualizován. google-autentizátorPokud zadáme písmeno n, program se zavře a aplikace nebude fungovat.
Vložíme dopis Y, zobrazí se následující:

ZVĚTŠIT

Krok 4
Tato otázka se týká toho, zda přijímáme vyhýbáme se selhání opakování, díky kterému každý kód po použití vyprší, tato možnost zabrání cizím lidem v zachycení těchto kódů pro neoprávněný přístup. Stisknutím a uvidíme následující:

ZVĚTŠIT

Krok 5
Odpovíme -li na tuto otázku, připustíme proti až 8 platných kódů s oknem čtyř minut, pokud odpovíme, nebudeme mít pouze 3 platné kódy s oknem jedné minuty a půl. Tam vybereme nejvhodnější možnost být nejbezpečnější. Následující uvidíme znovu.

Tato otázka odkazuje na pokusy o omezení ve kterém má útočník přístup před zablokováním, maximum jsou 3 pokusy. Klikněte na Y, proto jsme v CentOS 7 nakonfigurovali google-authenticator.

ZVĚTŠIT

3. Jak nakonfigurovat OpenSSH v CentOS 7


V tomto okamžiku vytvoříme sekundu SSH připojení provést testy, protože pokud zablokujeme jediný přístup SSH, budeme mít potíže s konfigurací parametrů.

Krok 1
Chcete -li upravit tyto hodnoty, přistoupíme k souboru sshd pomocí preferovaného editoru, zadáme následující: 

 sudo nano /etc/pam.d/sshd

ZVĚTŠIT

Krok 2
Na konec souboru přidáme následující řádek: 

 vyžadováno ověření pam_google_authenticator.so nullok

ZVĚTŠIT

Krok 3
Udržujeme soubor pomocí kombinace kláves:

Ctrl + O

Y šli jsme ven totéž pomocí kombinace:

Ctrl + X

Krok 3
Termín nullok říká PAM, že tento ověřovací faktor je volitelný a umožňuje uživatelům bez OATH-TOTP přístup pomocí jejich klíče SSH. Nyní nakonfigurujeme sshd Abychom tento typ ověřování povolili, zadáme následující řádek: 

 sudo nano / etc / ssh / sshd_config

ZVĚTŠIT

Krok 4

  • Tam najdeme následující řádek:
 ChallengeResponseAuthentication
  • Odkomentujeme linie:
 ChallengeResponseAuthentication ano
  • K řádku se vyjádříme:
 ChallengeResponseAuthentication no

ZVĚTŠIT

Krok 4
Změny uložíme pomocí Ctrl + NEBO. a restartujeme službu pomocí následujícího řádku: 

 sudo systemctl restartujte sshd.service
Krok 5
Můžeme ověřit přístup k připojení z jiného terminálu:

4. Jak povolit SSH zpracovávat MFA v CentOS 7

Krok 1
Za tímto účelem znovu přistupujeme k souboru sshd.config a v poslední části souboru přidáme následující řádek: 

 Metody ověřování publickey, heslo publickey, interaktivní klávesnice

ZVĚTŠIT

Krok 2
Změny uložíme pomocí Ctrl + NEBO a poté přistoupíme k souboru sshd PAM pomocí následujícího řádku: 

 sudo nano /etc/pam.d/sshd
Krok 3

Tam najdeme linku ověřovací dílčí balíček ověřování hesla a my to okomentujeme (#), aby PAM nevyžadoval heslo pro přístup přes SSH:

ZVĚTŠIT

Krok 4
Udržujeme změny. Restartujeme služba pomocí příkazu: 

 sudo systemctl restartujte sshd.service

5. Jak přidat třetí faktor autentizace v CentOS 7

Krok 1
Viděli jsme, že byly přidány následující faktory autentizace: 

 publickey (klíč SSH) heslo publickey (heslo) interaktivní klávesnice (ověřovací kód)
Krok 2
Pokud se pokusíme připojit, uvidíme pouze aktivní klíč SSH a ověřovací kód, k povolení hesla stačí přístup na trasu znovu sudo nano /etc/pam.d/sshd a tam odkomentujte řádek 
 ověřovací dílčí balíček ověřování hesla
Krok 3
Změny uložíme a službu restartujeme pomocí sudo 
 systemctl restart sshd.service
Jak vidíme, čím více úrovní zabezpečení v CentOS 7 zvládneme, tím větší budeme mít příležitost mít stabilní a spolehlivý systém pro všechny uživatele. Další informace o zabezpečení ve vašem systému najdete v části jak můžete konfigurovat, povolit nebo zakázat bránu firewall v CentOS 7.

CentOS7 Firewall

wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
▷ Signál nefunguje ✔️ ŘEŠENÍ
2
post-title
Sdílejte internet z mobilu Android
3
post-title
Jak přidat disk pomocí příkazu LVM v Linuxu
4
post-title
Zálohování v Linuxu z disku na disk
5
post-title
Jak ve Macu ve výchozím nastavení upřednostnit WiFi nebo Ethernet

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -