LinuxParty

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

SSH ofrece un canal de alta seguridad para la administración remota de servidores. Sin embargo, si se enfrentan a una auditoría de seguridad para conocer los requisitos reglamentarios o de negocios, tales como Visa / Mastercard, usted necesita ser consciente de algunas potenciales autentificaciones adicionales relacionadas con deficiencias que pueden causarles dolores de cabeza en una auditoría. Por ejemplo:

  • No hay manera de controlar qué usuarios tienen la autorización de clave pública
  • No hay manera de hacer cumplir la complejidad de la frase de contraseña (o incluso estar seguro de que uno se está utilizando)
  • No hay manera de expirar una clave pública

En este documento vamos a demostrar cómo configurar la autenticación de dos factores (o pasos) desde WiKID en RedHat. El Sistema de Autenticación WiKID es una solución de autenticación de dos factores, para uso comercial y código abierto. En primer lugar, vamos a configurar un dominio en el servidor WiKID, a continuación, agregue el servidor objetivo como clientes de red con el servidor WiKID, y finalmente configurar el cuadro de Redhat usando pam-radius.

Suponemos que su servidor está en marcha y que estamos listos para implementar la autenticación de dos factores en su entorno.

Añadir un dominio al servidor WiKID

Crear un cliente de Red

Después de guardar la información de dominio, haga clic en la ficha de cliente de red y cree nuevo cliente de red. Escriba un nombre para este cliente y la dirección IP de la puerta de enlace SSH en la red interna. Seleccione "Radius" como el protocolo y el dominio que ha creado anteriormente como el dominio.

Haga clic en Agregar para conseguir la siguiente página y especifique la palabra secreta "Shared Secret" para RADIUS.

Usted tendrá que repetir este proceso para cada servidor de la red.

Configurar SSH en su Redhat

Ahora vamos a configurar SSH en el equipo de destino. Cada distro linux maneja PAM de forma ligeramente diferente. En este tutorial se explica cómo instalar pam-radius para la autenticación de dos factores en Redhat.

En primer lugar, descargue el archivo fuente tar. La versión actual es la 1.3.17

$ wget ftp://ftp.freeradius.org/pub/radius/pam_radius-1.3.17.tar.gz

Untar el fichero:

$ tar -xzvf pam_radius-1.3.17.tar.gz

Instalar pam-devel:

$ sudo yum install pam-devel

Cambie al directorio y ejecute make:

$ make

Es posible que vea algunos errores, pero si el archivo se crea así, Copie la biblioteca en la ubicación adecuada:

$ sudo cp pam_radius_auth.so /lib/security/

Usa tu editor favorito para decirle SSH que debe utilizar RADIUS para la autenticación. Añadir esto como la primera línea:

auth        sufficient     /lib/security/pam_radius_auth.so 

Guarde el archivo y salga.

Ahora tenemos que decirle PAM donde está el servidor Radius. En este caso es el servidor WiKID. (Otro de los beneficios de la utilización de Radius es de encaminar las peticiones de autenticación a través de su directorio LDAP o AD - de autorización. Lo cual recomendamos encarecidamente)

Editar o crear el fichero /etc/raddb/server. Hay una muestra aquí.

$ sudo vim /etc/pam_radius_auth.conf 

El fichero (por si acaso) te lo mostramos aquí:

#  pam_radius_auth configuration file.  Copy to: /etc/raddb/server
#
#  For proper security, this file SHOULD have permissions 0600,
#  that is readable by root, and NO ONE else.  If anyone other than
#  root can read this file, then they can spoof responses from the server!
#
#  There are 3 fields per line in this file.  There may be multiple
#  lines.  Blank lines or lines beginning with '#' are treated as
#  comments, and are ignored.  The fields are:
#
#  server[:port] secret [timeout]
#
#  the port name or number is optional.  The default port name is
#  "radius", and is looked up from /etc/services The timeout field is
#  optional.  The default timeout is 3 seconds.
#
#  If multiple RADIUS server lines exist, they are tried in order.  The
#  first server to return success or failure causes the module to return
#  success or failure.  Only if a server fails to response is it skipped,
#  and the next server in turn is used.
#
#  The timeout field controls how many seconds the module waits before
#  deciding that the server has failed to respond.
#
# server[:port]	shared_secret      timeout (s)
127.0.0.1	secret             1
other-server    other-secret       3

#
# having localhost in your radius configuration is a Good Thing.
#
# See the INSTALL file for pam.conf hints.

Modifique la línea "other-server    other-secret       3" reemplazando "other-server con la dirección IP o nombre de host de su servidor de autenticación WiKID (o servidor Radius si tiene uno establecido entre WiKID y sus servidores) y cambie la palabra secreta compartida "other-secret" para este cliente de red.

Ahora, usted está listo para probar. Te recomiendo que ejecutes 'tail -f /var/log/secure' mientras prueba.

Tenga en cuenta que no hemos realizado ningún cambio en la configuración de la cuenta, por lo que se espera que el usuario tenga una cuenta local en el equipo o se puede configurar la cuenta para usar pam_ldap y apunte a su servidor AD / LDAP.

SSH remoto es ahora extremadamente seguro. Ningún usuario puede tener acceso al servidor sin haber conseguido primero una contraseña desde el servidor WiKID. Los dos factores de autenticación son posesión del testigo WiKID (y es clave criptográfica) y el conocimiento del PIN. Debido a que el PIN es validado en el servidor de WiKID, es muy fácil de desactivar un usuario. Todo está conectado y cualquier auditor debe estar muy contento.

Además, usted podría requerir una contraseña WiKID de una sola vez para el acceso root en máquinas internas. Basta con crear un nuevo dominio y editar /etc/pam.d/su apropiada. Esto también le permitirá romper los servidores en diferentes grupos para la gestión. Por ejemplo, si usted tiene un conjunto de servidores para recursos humanos para que sólo ciertos administradores tengan acceso de root, pueden ser configurados para un dominio específico WiKID -que permita el control de acceso y autenticación.

Obtenga más información sobre la autenticación de dos factores desde el sitio web WiKID

Pin It

Escribir un comentario


Código de seguridad
Refescar



Redes:



 

Suscribete / Newsletter

Suscribete a nuestras Newsletter y periódicamente recibirás un resumen de las noticias publicadas.

Donar a LinuxParty

Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?


Tutorial de Linux

Filtro por Categorías

Nos obligan a moslestarte con la obviedad de que este sitio utiliza Cookies. Ver política