Drošība ir viens no bastioniem CentOS 7 un mums patīk administratori vai IT personālam, kas pārvalda šāda veida mašīnas, ir jānodrošina, lai šie drošības līmeņi būtu labāki katru dienu, jo risks ir lietotāju informācija. Mēs varam īstenot dažādus drošības pasākumus CentOS 7 Un viens no galvenajiem, uz kuru mēs koncentrēsimies, ir autentifikācija.
Faktors autentifikācija Tā ir metode, kas nosaka, ka lietotājam ir atļaujas veikt kādu darbību sistēmā, piemēram, sesijas sākumu vai lietojumprogrammas instalēšanu. Tas ir būtiski, jo tā ļauj mums centralizēti kontrolēt katru notikumu, kas notiek sistēmā . Autentifikācijas procesā ir daži svarīgi komponenti, piemēram:
Autentifikācijas kanālsTas ir veids, kā autentifikācijas sistēma nodrošina faktoru lietotājam lai tā parādītu savu pilnvarojumu, piemēram, datoram.
Autentifikācijas faktorsKā mēs jau minējām, tā ir metode, kā to parādīt mums ir tiesības lai veiktu darbību, piemēram, paroli.
Mēs zinām, ka SSH izmanto iepriekš noteiktas paroles, taču tas ir autentifikācijas faktors, un ir svarīgi pievienot kanālu, jo parole nepareizās rokās apdraud visu operācijas integritāti. Šoreiz mēs runāsim un analizēsim, kā ieviest vairākus zināmus autentifikācijas faktorus kā MFA, jo tie ievērojami uzlabo piekļuves drošību, pieprasot ne tikai vienu, bet vairākus autentifikācijas parametrus, lai pareizi pieteiktos.
Ir dažādi autentifikācijas faktori, piemēram:
- Paroles un jautājumi par drošību.
- Žetons par drošību.
- Balss vai pirkstu nospiedumi digitāls.
1. Kā instalēt Google PAM
PAM (Pluggable autentifikācijas modulis) būtībā ir autentifikācijas infrastruktūra Linux vides lietotājiem. Šis PAM ģenerē TOTP (uz laiku balstīta vienreizēja parole) un ir saderīgs ar OATH-TOTP lietojumprogrammām, piemēram, Google autentifikatoru.
1. darbība
Instalēšanai PAM, izmantojot CentOS 7 vispirms būs jāinstalē EPEL repozitorijs (papildu paketes Enterprise Linux), šim nolūkam mēs izmantosim šādu rindu. Mēs pieņemam pakotņu lejupielādi un atbilstošu instalēšanu.
sudo yum instalēt https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
PALIELINĀT
2. solis
Kad EPEL repozitorijs ir instalēts, mēs instalēsim PAM CentOS 7, izmantojot šādu rindu:
sudo yum instalējiet Google autentifikatoru
PALIELINĀT
3. solis
Ja šī krātuve tiek izmantota pirmo reizi, mums tas ir jādara piekrist paroles izmantošanai no EPEL bet vairs netiks pieprasīts, šajā rindā mēs ievadām burti:
PALIELINĀT
Mēs redzam, ka instalēšana ir bijusi veiksmīga. mums ir instalēta PAM CentOS 7 mēs izmantosim utilītas palīdzību, lai ģenerētu lietotājam TOPT, kuram tiks pievienots otrs autentifikācijas faktors. Ir svarīgi precizēt, ka tas atslēgai jābūt lietotāja ģenerētai bet ne sistēmas līmenī, jo katra piekļuve ir personiska.
2. Kā lietot Google PAM
Tagad mēs redzēsim, kā palaist un izmantot PAM no Google.
1. darbība
Paturot to prātā, mēs turpinām palaidiet google-autentifikatoru izmantojot šādu komandu:
google-autentifikatorsTiks parādīts šāds logs, kurā mēs saņemam ziņojumu, ja drošības marķieri tiks balstīti uz laiku, mēs ievadīsim Y:
PALIELINĀT
2. solis
PAM apstrādā divu veidu marķierus, pamatojoties uz laiku vai secību, secīgie ļauj kodu sākt noteiktā brīdī un pēc tam palielināt katru reizi. Laika noteiktais marķieris ļauj kodu pēc nejaušības principa mainīt pēc noteikta laika. Uz nospiediet Y, mēs redzēsim sekojošo.
Mēs redzam a QR kods kuras mēs varam skenēt ar savu tālruni vai pierakstiet slepeno atslēgu tieši zemāk. Tādā pašā veidā mēs varam redzēt verifikācijas kodu (6 cipari) mainās ik pēc 30 sekundēm.
PALIELINĀT
PiezīmeTas ir vitāli svarīgi saglabāsim visus kodus izvietoti drošā vietā.
3. solis
Jautājumā, ko redzam rindas beigās, tas norāda, ka atslēgas tiks uzrakstītas un fails tiks atjaunināts. google-autentifikatorsJa mēs ievadīsim burtu n, programma tiks slēgta un lietojumprogramma nedarbosies.
Mēs ievadām burtu Y, tiks parādīts šāds:
PALIELINĀT
4. solis
Šis jautājums attiecas uz to, vai mēs pieņemam mēs izvairāmies no neveiksmes atkārtošanās, kuras rezultātā katram kodam beidzas derīguma termiņš, šī opcija neļauj nepiederošajiem uztvert šos kodus neatļautai piekļuvei. Nospiežot un mēs redzēsim sekojošo:
PALIELINĀT
5. solis
Ja mēs atbildam, ja uz šo jautājumu mēs atļaujamies ar līdz pat 8 derīgiem kodiem ar četru minūšu logu, ja atbildēsim, mums nebūs tikai 3 derīgi kodi ar pusotras minūtes periodu. Tur mēs izvēlamies vispiemērotākais variants ir visdrošākais. Mēs atkal redzēsim sekojošo.
Šis jautājums attiecas uz mēģina ierobežot kurā uzbrucējs var piekļūt pirms bloķēšanas, maksimālais ir 3 mēģinājumi. Klikšķiniet uz Y, tādējādi mēs esam konfigurējuši google autentifikatoru CentOS 7.
PALIELINĀT
3. Kā konfigurēt OpenSSH CentOS 7
Šajā brīdī mēs izveidosim otro SSH savienojums lai veiktu testus, jo, bloķējot vienīgo SSH piekļuvi, mums būs grūtības konfigurēt parametrus.
1. darbība
Lai rediģētu šīs vērtības, mēs piekļūsim sshd failam, izmantojot vēlamo redaktoru, ievadīsim šādu informāciju:
sudo nano /etc/pam.d/sshd
PALIELINĀT
2. solis
Faila beigās mēs pievienosim šādu rindu:
autentifikācija nepieciešama pam_google_authenticator.so nullok
PALIELINĀT
3. solis
Mēs paturam failu, izmantojot taustiņu kombināciju:
Ctrl + O
Y mēs izgājām ārā to pašu, izmantojot kombināciju:
Ctrl + X
3. solis
Termiņš nullok norāda PAM, ka šis autentifikācijas faktors nav obligāts, ļaujot lietotājiem bez OATH-TOTP piekļūt, izmantojot savu SSH atslēgu. Tagad mēs konfigurēsim sshd Lai atļautu šāda veida autentifikāciju, mēs ievadīsim šādu rindu:
sudo nano / etc / ssh / sshd_config
PALIELINĀT
4. solis
- Tur mēs atradīsim šādu rindu:
ChallengeResponseAuthentication
- Mēs nepiekritīsim līnija:
ChallengeResponseAuthentication jā
- Mēs komentēsim rindu:
ChallengeResponseAuthentication nr
PALIELINĀT
4. solis
Mēs saglabājam izmaiņas, izmantojot Ctrl + VAI. un mēs restartējam pakalpojumu, izmantojot šādu rindu:
sudo systemctl restartējiet sshd.service5. solis
Mēs varam apstiprināt savienojamība, piekļūstot no cita termināļa:
4. Kā iespējot SSH apstrādāt MFA programmā CentOS 7
1. darbība
Šim nolūkam mēs atkal piekļūstam failam sshd.config, un faila pēdējā daļā mēs pievienosim šādu rindu:
Autentifikācijas metodes: publiskā atslēga, publiskās paroles atslēga, interaktīva tastatūra
PALIELINĀT
2. solis
Mēs saglabājam izmaiņas, izmantojot Ctrl + VAI un tad mēs piekļūsim PAM sshd failam, izmantojot šādu rindu:
sudo nano /etc/pam.d/sshd3. solis
Tur mēs atradīsim līniju auth substack parole-auth un mēs to komentēsim (#), lai PAM nebūtu nepieciešama parole, lai piekļūtu SSH:
PALIELINĀT
4. solis
Mēs paturam izmaiņas. Mēs pārstartējam pakalpojums, izmantojot komandu:
sudo systemctl restartējiet sshd.service
5. Kā CentOS 7 pievienot trešo autentifikācijas faktoru
1. darbība
Mēs redzējām, ka tika pievienoti šādi autentifikācijas faktori:
publickey (SSH atslēga) parole publickey (parole) tastatūra-interaktīva (verifikācijas kods)2. solis
Ja mēģināsim izveidot savienojumu, mēs redzēsim tikai SSH atslēgu un verifikācijas kodu, lai iespējotu paroli, pietiek ar piekļuvi maršrutam vēlreiz sudo nano /etc/pam.d/sshd un tur komentēt līniju
auth substack parole-auth.3. solis
Mēs saglabājam izmaiņas un mēs restartēsim pakalpojumu, izmantojot sudo
systemctl restartējiet sshd.serviceKā redzam, jo vairāk drošības līmeņu mēs apstrādāsim CentOS 7, jo vairāk iespēju mums būs izveidot stabilu un uzticamu sistēmu visiem lietotājiem. Lai turpinātu mācīties par savas sistēmas drošību, sk kā konfigurēt, iespējot vai atspējot ugunsmūri programmā CentOS 7.
CentOS7 ugunsmūris
