Sikkerhet er en av bastionene til CentOS 7 og vi liker administratorer eller IT -personell som administrerer denne typen maskiner må sørge for at disse sikkerhetsnivåene blir bedre hver dag siden det som er i fare er informasjonen til brukerne. Det er forskjellige sikkerhetstiltak som vi kan implementere i CentOS 7 Og en av de viktigste, som vi vil fokusere på, er autentisering.
En faktor på godkjenning Det er en metode som bestemmer at en bruker har tillatelser til å utføre en handling i systemet, for eksempel starten på en økt eller installasjon av et program, dette er avgjørende siden det lar oss ha sentralisert kontroll over hver hendelse som skjer i systemet . Det er noen grunnleggende komponenter i godkjenningsprosessen, for eksempel:
GodkjenningskanalDet er måten autentiseringssystemet er leverer en faktor til brukeren slik at den viser sin autorisasjon, for eksempel en datamaskin.
GodkjenningsfaktorSom vi har nevnt er det metoden for å vise det vi har rettighetene for å utføre handlingen, for eksempel et passord.
Vi vet at SSH bruker forhåndsdefinerte passord, men dette er en autentiseringsfaktor, og det er viktig å legge til en kanal siden en passord i feil hender setter hele operasjonens integritet i fare. Denne gangen vil vi snakke og analysere hvordan vi implementerer flere autentiseringsfaktorer, kjent som UD, siden disse øker tilgangssikkerheten spesielt ved at det ikke bare krever én, men flere autentiseringsparametere for å logge inn riktig.
Det er forskjellige autentiseringsfaktorer som:
- Passord og spørsmål av sikkerhet.
- Token av sikkerhet.
- Stemme eller fingeravtrykk digital.
1. Slik installerer du Google PAM
PAM (Pluggable Authentication Module) er i utgangspunktet en autentiseringsinfrastruktur for brukere av Linux -miljøer. Denne PAM genererer TOTP (tidsbasert engangspassord) og er kompatibel med OATH-TOTP-applikasjoner som Google Authenticator.
Trinn 1
For installasjon PAM på CentOS 7 først vil det være nødvendig å installere EPEL -depotet (Extra Packages for Enterprise Linux), for dette bruker vi følgende linje. Vi aksepterer nedlasting og respektive installasjon av pakkene.
sudo yum installer https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
FORSTØRRE
Steg 2
Når EPEL -depotet er installert, installerer vi PAM i CentOS 7 ved å bruke følgende linje:
sudo yum installer google-authenticator
FORSTØRRE
Trinn 3
Hvis det er første gang vi bruker dette depotet må vi godta bruk av passordet av EPEL men vil ikke bli forespurt igjen, i denne linjen går vi inn i bokstaver:
FORSTØRRE
Vi kan se at installasjonen har vært vellykket. vi har PAM installert I CentOS 7 vil vi bruke hjelp av verktøyet til å generere TOPT for brukeren som en andre godkjenningsfaktor vil bli lagt til. Det er viktig å presisere at dette nøkkelen må være brukergenerert men ikke på systemnivå siden hver tilgang er personlig.
2. Slik bruker du Google PAM
Nå får vi se hvordan kjør og bruk PAM av Google.
Trinn 1
Med dette i bakhodet går vi videre til start google-authenticator ved å bruke følgende kommando:
google-autentiseringFølgende vindu vil vises der vi får meldingen hvis sikkerhetstokenene vil være basert på tid, går vi inn Y:
FORSTØRRE
Steg 2
PAM håndterer to typer token, basert på tid eller sekvensiell, de sekvensielle lar koden starte på et punkt og deretter øke for hver bruk. Det tidsbaserte tokenet tillater at koden endres tilfeldig etter en bestemt tid. Til trykk på Y, vi vil se følgende.
Vi ser a QR kode hvilken vi kan skanne med telefonen eller skriv ned den hemmelige nøkkelen like nedenfor. På samme måte kan vi se bekreftelseskoden (6 sifre) som endres hvert 30. sekund.
FORSTØRRE
MerkDet er avgjørende at la oss lagre alle kodene distribuert på et trygt sted.
Trinn 3
I spørsmålet som vi ser på slutten av linjen, indikerer det at tastene blir skrevet og filen vil bli oppdatert. google-autentiseringHvis vi skriver inn bokstaven n, lukkes programmet og applikasjonen fungerer ikke.
Vi legger inn bokstaven Y, vil følgende vises:
FORSTØRRE
Trinn 4
Dette spørsmålet refererer til om vi godtar vi unngår en fiasko gjentagelse som får hver kode til å utløpe etter å ha blitt brukt, forhindrer dette alternativet at utenforstående fanger disse kodene for uautorisert tilgang. Ved å trykke og vil vi se følgende:
FORSTØRRE
Trinn 5
Hvis vi svarer om vi tillater mot dette spørsmålet med opptil 8 gyldige koder med et vindu på fire minutter, hvis vi svarer, vil vi ikke bare ha 3 gyldige koder med et vindu på halvannet minutt. Der velger vi mest passende alternativet å være den tryggeste. Vi vil se følgende igjen.
Dette spørsmålet refererer til forsøk på begrensning der en angriper kan få tilgang før den blir blokkert, er maksimum 3 forsøk. Klikk på Y, Derfor har vi konfigurert google-autentisering i CentOS 7.
FORSTØRRE
3. Slik konfigurerer du OpenSSH på CentOS 7
På dette tidspunktet vil vi lage et sekund SSH -tilkobling for å utføre testene siden hvis vi blokkerer den eneste SSH -tilgangen, vil vi ha problemer med å konfigurere parametrene.
Trinn 1
For å redigere disse verdiene får vi tilgang til sshd -filen ved hjelp av den foretrukne redaktøren, vi skriver inn følgende:
sudo nano /etc/pam.d/sshd
FORSTØRRE
Steg 2
På slutten av filen vil vi legge til følgende linje:
author kreves pam_google_authenticator.so nullok
FORSTØRRE
Trinn 3
Vi beholder filen ved hjelp av tastekombinasjonen:
Ctrl + O.
Y vi gikk ut av det samme ved å bruke kombinasjonen:
Ctrl + X
Trinn 3
Begrepet nullok forteller PAM at denne autentiseringsfaktoren er valgfri, slik at brukere uten OATH-TOTP får tilgang med SSH-nøkkelen. Nå vi vil konfigurere sshd For å tillate denne typen autentisering, legger vi inn følgende linje for dette:
sudo nano / etc / ssh / sshd_config
FORSTØRRE
Trinn 4
- Der vi vil finne følgende linje:
ChallengeResponseAuthentication
- Vi kommer til å kommentere linjen:
ChallengeResponseAuthentication ja
- Vi vil kommentere linjen:
ChallengeResponseAutentifikasjonsnr
FORSTØRRE
Trinn 4
Vi lagrer endringene med Ctrl + ELLER. og vi starter tjenesten på nytt med følgende linje:
sudo systemctl start sshd.service på nyttTrinn 5
Vi kan validere tilkobling fra en annen terminal:
4. Slik lar SSH håndtere MFA i CentOS 7
Trinn 1
For dette får vi tilgang til sshd.config -filen igjen, og i den siste delen av filen vil vi legge til følgende linje:
AuthenticationMethods publickey, passord publickey, tastaturinteraktiv
FORSTØRRE
Steg 2
Vi lagrer endringene med Ctrl + ELLER og så får vi tilgang til PAM sshd -filen ved hjelp av følgende linje:
sudo nano /etc/pam.d/sshdTrinn 3
Der finner vi linjen auth substack passord-auth og vi vil kommentere det (#) slik at PAM ikke krever passord for tilgang av SSH:
FORSTØRRE
Trinn 4
Vi beholder Forandringene. Vi starter på nytt tjenesten ved hjelp av kommandoen:
sudo systemctl start sshd.service på nytt
5. Hvordan legge til en tredje godkjenningsfaktor i CentOS 7
Trinn 1
Vi kunne se at følgende godkjenningsfaktorer ble lagt til:
publickey (SSH-nøkkel) passord publickey (Password) tastatur-interaktivt (Verifikasjonskode)Steg 2
Hvis vi prøver å koble til, ser vi bare SSH -nøkkelen og bekreftelseskoden aktiv. For å aktivere passordet er det nok for å få tilgang til ruten igjen sudo nano /etc/pam.d/sshd og der kommenterer du linjen
auth substack passord-auth.Trinn 3
Vi lagrer endringene, og vi skal starte tjenesten på nytt ved hjelp av sudo
systemctl starter sshd.service på nyttSom vi ser, jo flere sikkerhetsnivåer vi håndterer i CentOS 7, desto større mulighet får vi for å ha et stabilt og pålitelig system for alle brukere. For å fortsette å lære om sikkerhet på systemet ditt, se hvordan du kan konfigurere, aktivere eller deaktivere brannmur i CentOS 7.
CentOS7 brannmur
