A segurança é um dos bastiões da CentOS 7 e nós gostamos administradores ou o pessoal de TI que gerencia esse tipo de máquina deve garantir que esses níveis de segurança sejam melhores a cada dia, pois o que está em risco são as informações dos usuários. Existem várias medidas de segurança que podemos implementar em CentOS 7 E um dos principais, no qual nos concentraremos, é a autenticação.
Um fator de autenticação É um método que determina que um usuário tem permissão para realizar uma ação dentro do sistema, como o início da sessão ou instalação de um aplicativo, isso é essencial, pois nos permite ter um controle centralizado sobre cada evento que ocorre dentro do sistema . Existem alguns componentes fundamentais no processo de autenticação, como:
Canal de autenticaçãoÉ a forma como o sistema de autenticação entrega um fator para o usuário para que demonstre sua autorização, por exemplo, um computador.
Fator de autenticaçãoComo mencionamos, é o método para mostrar que nós temos os direitos para realizar a ação, por exemplo, uma senha.
Sabemos que o SSH usa senhas predefinidas, mas este é um fator de autenticação e é importante adicionar um canal, pois um senha nas mãos erradas coloca em risco toda a integridade da operação. Desta vez, falaremos e analisaremos como implementar vários fatores de autenticação, conhecidos como MFA, uma vez que aumentam notavelmente a segurança do acesso, exigindo não apenas um, mas vários parâmetros de autenticação para efetuar login corretamente.
Existem vários fatores de autenticação, como:
- Senhas e perguntas de segurança.
- Símbolo de segurança.
- Voz ou impressão digital digital.
1. Como instalar o Google PAM
PAM (Módulo de autenticação plugável) é basicamente uma infraestrutura de autenticação para usuários de ambientes Linux. Este PAM gera TOTP (senha única baseada em tempo) e é compatível com aplicativos OATH-TOTP, como o Google Authenticator.
Passo 1
Para instalar PAM no CentOS 7 primeiro será necessário instalar o repositório EPEL (Extra Packages for Enterprise Linux), para isso utilizaremos a seguinte linha. Nós aceitamos o download e respectiva instalação dos pacotes.
sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
PROLONGAR
Passo 2
Assim que o repositório EPEL for instalado, instalaremos o PAM no CentOS 7 usando a seguinte linha:
sudo yum install google-authenticator
PROLONGAR
etapa 3
Se é a primeira vez que usamos este repositório, devemos aceitar o uso da senha do EPEL mas não será solicitado novamente, nesta linha entramos no letras:
PROLONGAR
Podemos ver que a instalação foi bem-sucedida. temos PAM instalado No CentOS 7 usaremos a ajuda do utilitário para gerar o TOPT para o usuário ao qual um segundo fator de autenticação será adicionado. É importante esclarecer que este a chave deve ser gerada pelo usuário mas não no nível do sistema, pois cada acesso é pessoal.
2. Como usar o Google PAM
Agora vamos ver como executar e usar PAM do Google.
Passo 1
Com isso em mente, procedemos para iniciar google-autenticador usando o seguinte comando:
google-autenticadorA seguinte janela será exibida onde obtemos a mensagem se os tokens de segurança serão baseados em tempo, entramos Y:
PROLONGAR
Passo 2
O PAM lida com dois tipos de token, com base no tempo ou sequencial, os sequenciais permitem que o código comece em um ponto e aumente a cada uso. O token baseado em tempo permite que o código seja modificado aleatoriamente após um tempo especificado. Ao pressione Y, veremos o seguinte.
Nós vemos um Código QR Qual podemos digitalizar com nosso telefone ou escreva a chave secreta logo abaixo. Da mesma forma, podemos ver o código de verificação (6 dígitos) que muda a cada 30 segundos.
PROLONGAR
ObservaçãoÉ vital que vamos salvar todos os códigos implantado em um local seguro.
etapa 3
Na pergunta que vemos no final da linha, indica que as chaves serão escritas e o arquivo será atualizado. google-autenticadorSe inserirmos a letra n, o programa será fechado e o aplicativo não funcionará.
Nós entramos na carta Y, o seguinte será exibido:
PROLONGAR
Passo 4
Esta questão refere-se a se aceitamos nós evitamos um fracasso repetição que faz com que cada código expire após ser usado, esta opção impede que estranhos capturem esses códigos para acesso não autorizado. Pressionando e veremos o seguinte:
PROLONGAR
Etapa 5
Se respondermos se a esta questão permitimos contra com até 8 códigos válidos com uma janela de quatro minutos, se respondermos, não teremos apenas 3 códigos válidos com uma janela de um minuto e meio. Lá nós selecionamos o opção mais adequada sendo o mais seguro. Veremos novamente o seguinte.
Esta questão se refere ao limitação de tentativas em que um invasor pode acessar antes de ser bloqueado, o máximo são 3 tentativas. Clique em Y, portanto, configuramos o google-authenticator no CentOS 7.
PROLONGAR
3. Como configurar OpenSSH no CentOS 7
Neste ponto, criaremos um segundo Conexão SSH para realizar os testes, pois se bloquearmos o único acesso SSH teremos dificuldades para configurar os parâmetros.
Passo 1
Para editar esses valores, acessaremos o arquivo sshd usando o editor preferido, inseriremos o seguinte:
sudo nano /etc/pam.d/sshd
PROLONGAR
Passo 2
No final do arquivo, adicionaremos a seguinte linha:
auth required pam_google_authenticator.so nullok
PROLONGAR
etapa 3
Nós mantemos o arquivo usando a combinação de teclas:
Ctrl + O
Y nós saímos do mesmo usando a combinação:
Ctrl + X
etapa 3
O fim nullok diz ao PAM que este fator de autenticação é opcional, permitindo que usuários sem OATH-TOTP acessem usando sua chave SSH. Agora vamos configurar o sshd Para permitir este tipo de autenticação, para isso entraremos na seguinte linha:
sudo nano / etc / ssh / sshd_config
PROLONGAR
Passo 4
- Lá nós vamos localizar a seguinte linha:
ChallengeResponseAuthentication
- Vamos descomentar a linha:
ChallengeResponseAuthentication sim
- Vamos comentar sobre a linha:
ChallengeResponseAuthentication não
PROLONGAR
Passo 4
Nós salvamos as alterações usando Ctrl + OU. e reiniciamos o serviço usando a seguinte linha:
sudo systemctl restart sshd.serviceEtapa 5
Pudermos validar conectividade acessando de outro terminal:
4. Como habilitar SSH para lidar com MFA no CentOS 7
Passo 1
Para isso acessamos o arquivo sshd.config novamente e na parte final do arquivo adicionaremos a seguinte linha:
AuthenticationMethods publickey, senha publickey, teclado interativo
PROLONGAR
Passo 2
Nós salvamos as alterações usando Ctrl + OU e então acessaremos o arquivo sshd do PAM usando a seguinte linha:
sudo nano /etc/pam.d/sshdetapa 3
Lá iremos localizar a linha auth substack senha-auth e iremos comentá-lo (#) para que o PAM não exija a senha de acesso por SSH:
PROLONGAR
Passo 4
Nós mantemos as mudanças. Nós reinicializamos o serviço usando o comando:
sudo systemctl restart sshd.service
5. Como adicionar um terceiro fator de autenticação no CentOS 7
Passo 1
Podemos ver que os seguintes fatores de autenticação foram adicionados:
publickey (chave SSH) senha publickey (senha) teclado interativo (código de verificação)Passo 2
Se tentarmos conectar veremos apenas a chave SSH e o código de verificação ativo, para habilitar a senha basta acessar a rota novamente sudo nano /etc/pam.d/sshd e descomente a linha
auth substack senha-auth.etapa 3
Nós salvamos as alterações e vamos reiniciar o serviço usando sudo
systemctl restart sshd.serviceComo podemos ver, quanto mais níveis de segurança administramos no CentOS 7, mais oportunidades teremos de ter um sistema estável e confiável para todos os usuários. Para continuar aprendendo sobre segurança em seu sistema, consulte como você pode configurar, habilitar ou desabilitar o Firewall no CentOS 7.
Firewall CentOS7