La sicurezza è uno dei bastioni di CentOS 7 e ci piace amministratori o il personale IT che gestisce questo tipo di macchine deve garantire che questi livelli di sicurezza siano ogni giorno migliori poiché ciò che è a rischio sono le informazioni degli utenti. Ci sono varie misure di sicurezza che possiamo implementare in CentOS 7 E uno dei principali, su cui ci concentreremo, è l'autenticazione.
Un fattore di autenticazione È un metodo che determina che un utente ha le autorizzazioni per eseguire un'azione all'interno del sistema come l'inizio della sessione o l'installazione di un'applicazione, questo è essenziale poiché ci consente di avere un controllo centralizzato su ogni evento che si verifica all'interno del sistema Ci sono alcuni componenti fondamentali nel processo di autenticazione come:
Canale di autenticazioneÈ il modo in cui il sistema di autenticazione fornisce un fattore all'utente in modo che dimostri la sua autorizzazione, ad esempio un computer.
Fattore di autenticazioneCome abbiamo detto, è il metodo per dimostrare che abbiamo i diritti per eseguire l'azione, ad esempio una password.
Sappiamo che SSH utilizza password predefinite, ma questo è un fattore di autenticazione ed è importante aggiungere un canale poiché a parola d'ordine nelle mani sbagliate mette a rischio l'intera integrità dell'operazione. Questa volta parleremo e analizzeremo come implementare più fattori di autenticazione, noto come AMF, poiché questi aumentano notevolmente la sicurezza dell'accesso richiedendo non solo uno, ma diversi parametri di autenticazione per accedere correttamente.
Esistono vari fattori di autenticazione come:
- Password e domande di sicurezza.
- Gettone di sicurezza.
- Voce o impronta digitale digitale.
1. Come installare Google PAM
PAM (Pluggable Authentication Module) è fondamentalmente un'infrastruttura di autenticazione per gli utenti di ambienti Linux. Questo PAM genera TOTP (Time-based One-time Password) ed è compatibile con le applicazioni OATH-TOTP come Google Authenticator.
Passo 1
Per installare PAM su CentOS 7 prima sarà necessario installare il repository EPEL (Extra Packages for Enterprise Linux), per questo utilizzeremo la riga seguente. Accettiamo il download e la relativa installazione dei pacchetti.
sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
INGRANDIRE
Passo 2
Una volta installato il repository EPEL, installeremo PAM in CentOS 7 utilizzando la seguente riga:
sudo yum install google-authenticator
INGRANDIRE
Passaggio 3
Se è la prima volta che usiamo questo repository dobbiamo accettare l'uso della password di EPEL ma non sarà richiesto di nuovo, in questa riga inseriamo il lettere:
INGRANDIRE
Possiamo vedere che l'installazione è andata a buon fine. abbiamo installato PAM In CentOS 7 utilizzeremo l'aiuto dell'utility per generare il TOPT per l'utente a cui verrà aggiunto un secondo fattore di autenticazione. È importante chiarire che questo la chiave deve essere generata dall'utente ma non a livello di sistema poiché ogni accesso è personale.
2. Come usare Google PAM
Ora vedremo come esegui e usa PAM di Google.
Passo 1
Con questo in mente procediamo a avvia google-autenticatore utilizzando il seguente comando:
google-autenticatoreVerrà visualizzata la seguente finestra in cui otteniamo il messaggio se i token di sicurezza saranno basati sul tempo, entriamo Sì:
INGRANDIRE
Passo 2
PAM gestisce due tipi di token, basati sul tempo o sequenziali, quelli sequenziali consentono al codice di iniziare da un punto per poi aumentare ad ogni utilizzo. Il token basato sul tempo consente di modificare casualmente il codice dopo un tempo specificato. Al premi Y, vedremo quanto segue.
vediamo un QR Code quale possiamo scansionare con il nostro telefono o scrivi la chiave segreta appena sotto. Allo stesso modo possiamo vedere il codice di verifica (6 cifre) che cambia ogni 30 secondi.
INGRANDIRE
NotaÈ fondamentale che salviamo tutti i codici dislocato in un luogo sicuro.
Passaggio 3
Nella domanda che vediamo alla fine della riga, indica che le chiavi verranno scritte e il file verrà aggiornato. google-autenticatoreSe inseriamo la lettera n, il programma verrà chiuso e l'applicazione non funzionerà.
Inseriamo la lettera sì, verrà visualizzato quanto segue:
INGRANDIRE
Passaggio 4
Questa domanda si riferisce al fatto che accettiamo evitiamo un fallimento ripetizione che fa scadere ogni codice dopo essere stato utilizzato, questa opzione impedisce agli estranei di acquisire questi codici per l'accesso non autorizzato. Premendo e vedremo quanto segue:
INGRANDIRE
Passaggio 5
Se rispondiamo se a questa domanda consentiamo contro con un massimo di 8 codici validi con una finestra di quattro minuti, se rispondiamo, non avremo solo 3 codici validi con una finestra di un minuto e mezzo. Lì selezioniamo il opzione più adatta essere il più sicuro. Vedremo ancora quanto segue.
Questa domanda si riferisce al limitazione dei tentativi in cui un attaccante può accedere prima di essere bloccato, il massimo è di 3 tentativi. Clicca su si, quindi abbiamo configurato google-authenticator in CentOS 7.
INGRANDIRE
3. Come configurare OpenSSH su CentOS 7
A questo punto creeremo un secondo Connessione SSH per eseguire i test poiché se blocchiamo il solo accesso SSH avremo difficoltà a configurare i parametri.
Passo 1
Per modificare questi valori accederemo al file sshd utilizzando l'editor preferito, inseriremo quanto segue:
sudo nano /etc/pam.d/sshd
INGRANDIRE
Passo 2
Alla fine del file aggiungeremo la seguente riga:
auth richiesto pam_google_authenticator.so nullok
INGRANDIRE
Passaggio 3
Manteniamo il file utilizzando la combinazione di tasti:
Ctrl + O
sì siamo usciti dello stesso utilizzando la combinazione:
Ctrl + X
Passaggio 3
Il termine nullok indica a PAM che questo fattore di autenticazione è facoltativo e consente agli utenti senza OATH-TOTP di accedere utilizzando la propria chiave SSH. Ora configureremo sshd Per consentire questo tipo di autenticazione, per questo inseriremo la seguente riga:
sudo nano / etc / ssh / sshd_config
INGRANDIRE
Passaggio 4
- Là troveremo la seguente riga:
SfidaRispostaAutenticazione
- rimuoveremo il commento la linea:
SfidaRispostaAutenticazione sì
- Commenteremo la riga:
ChallengeResponseAuthentication no
INGRANDIRE
Passaggio 4
Salviamo le modifiche utilizzando Ctrl + O. e riavviamo il servizio utilizzando la seguente riga:
sudo systemctl riavvia sshd.servicePassaggio 5
Noi possiamo convalidare connettività accedendo da altro terminale:
4. Come abilitare SSH per gestire MFA in CentOS 7
Passo 1
Per questo accediamo nuovamente al file sshd.config e nella parte finale del file aggiungeremo la seguente riga:
AuthenticationMethods publickey, publickey password, tastiera interattiva
INGRANDIRE
Passo 2
Salviamo le modifiche utilizzando Ctrl + O e quindi accederemo al file PAM sshd utilizzando la seguente riga:
sudo nano /etc/pam.d/sshdPassaggio 3
Lì individueremo la linea auth substack password-auth e lo commenteremo (#) in modo che PAM non richieda la password per l'accesso tramite SSH:
INGRANDIRE
Passaggio 4
Manteniamo i cambiamenti. Riavviamo il servizio utilizzando il comando:
sudo systemctl riavvia sshd.service
5. Come aggiungere un terzo fattore di autenticazione in CentOS 7
Passo 1
Abbiamo potuto vedere che sono stati aggiunti i seguenti fattori di autenticazione:
publickey (chiave SSH) password publickey (password) interattiva da tastiera (codice di verifica)Passo 2
Se proviamo a connetterci vedremo solo la chiave SSH e il codice di verifica attivi, per abilitare la password è sufficiente accedere nuovamente al percorso sudo nano /etc/pam.d/sshd e lì decommenta la riga
auth substack password-auth.Passaggio 3
Salviamo le modifiche e riavvieremo il servizio utilizzando sudo
systemctl riavvia sshd.serviceCome vediamo, più livelli di sicurezza gestiamo in CentOS 7, più opportunità avremo di avere un sistema stabile e affidabile per tutti gli utenti. Per continuare a conoscere la sicurezza del tuo sistema, consulta come puoi configurare, abilitare o disabilitare Firewall in CentOS 7.
Firewall CentOS7