Konfigurieren Sie die SSH-Anmeldeauthentifizierungsfaktoren in CentOS 7

Konfigurieren Sie die SSH-Anmeldeauthentifizierungsfaktoren in CentOS 7 | Linux / Unix 2024
Konfigurieren Sie die SSH-Anmeldeauthentifizierungsfaktoren in CentOS 7 | Linux / Unix 2024

Sicherheit ist eine der Bastionen von CentOS 7 und wir mögen Administratoren oder IT-Personal, das diese Art von Maschinen verwaltet, muss sicherstellen, dass diese Sicherheitsstufen jeden Tag besser werden, da die Informationen der Benutzer gefährdet sind. Es gibt verschiedene Sicherheitsmaßnahmen, die wir implementieren können CentOS 7 Und einer der wichtigsten, auf den wir uns konzentrieren werden, ist die Authentifizierung.

Ein Faktor von Authentifizierung Es ist eine Methode, die bestimmt, dass ein Benutzer die Berechtigung hat, eine Aktion innerhalb des Systems durchzuführen, wie den Start einer Sitzung oder die Installation einer Anwendung Es gibt einige grundlegende Komponenten im Authentifizierungsprozess, wie zum Beispiel:

AuthentifizierungskanalSo funktioniert das Authentifizierungssystem liefert dem Benutzer einen Faktor damit es seine Berechtigung nachweist, zum Beispiel ein Computer.

AuthentifizierungsfaktorWie wir bereits erwähnt haben, ist dies die Methode, um zu zeigen, dass wir haben die rechte um die Aktion auszuführen, zum Beispiel ein Passwort.

Wir wissen, dass SSH vordefinierte Passwörter verwendet, aber dies ist ein Authentifizierungsfaktor und es ist wichtig, einen Kanal hinzuzufügen, da a Passwort in die falschen Hände gerät, gefährdet die gesamte Integrität der Operation. Dieses Mal werden wir sprechen und analysieren, wie mehrere bekannte Authentifizierungsfaktoren implementiert werden können als MFA, da diese die Zugriffssicherheit deutlich erhöhen, indem sie nicht nur einen, sondern mehrere Authentifizierungsparameter für die korrekte Anmeldung benötigen.
Es gibt verschiedene Authentifizierungsfaktoren wie:

  • Passwörter und Fragen der Sicherheit.
  • Zeichen der Sicherheit.
  • Stimme oder Fingerabdruck Digital.
Mit diesen Konzepten beginnen wir den Prozess der Konfiguration mehrerer Authentifizierungsfaktoren in CentOS 7.

1. So installieren Sie Google PAM


PAM (Pluggable Authentication Module) ist im Grunde eine Authentifizierungsinfrastruktur für Benutzer von Linux-Umgebungen. Dieses PAM generiert TOTP (zeitbasiertes Einmalpasswort) und ist mit OATH-TOTP-Anwendungen wie Google Authenticator kompatibel.

Schritt 1
Für die Installation PAM auf CentOS 7 Zuerst muss das EPEL-Repository (Extra Packages for Enterprise Linux) installiert werden, dazu verwenden wir die folgende Zeile. Wir akzeptieren den Download und die jeweilige Installation der Pakete. 

 sudo yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

VERGRÖSSERN

Schritt 2
Sobald das EPEL-Repository installiert ist, installieren wir PAM in CentOS 7 mit der folgenden Zeile: 

 sudo yum installiere google-authenticator

VERGRÖSSERN

Schritt 3
Wenn wir dieses Repository zum ersten Mal verwenden, müssen wir Akzeptieren Sie die Verwendung des Passworts von EPEL aber wird nicht mehr angefordert, in dieser Zeile geben wir die Briefe:

VERGRÖSSERN

Wir können sehen, dass die Installation erfolgreich war. wir haben PAM installiert In CentOS 7 verwenden wir die Hilfe des Dienstprogramms, um die TOPT für den Benutzer zu generieren, zu der ein zweiter Authentifizierungsfaktor hinzugefügt wird. Es ist wichtig zu klären, dass dies Schlüssel muss benutzergeneriert sein jedoch nicht auf Systemebene, da jeder Zugriff persönlich ist.

2. So verwenden Sie Google PAM


Jetzt werden wir sehen wie Ausführen und Verwenden von PAM von Google.

Schritt 1
In diesem Sinne gehen wir weiter zu google-authenticator starten mit dem folgenden Befehl: 

 Google-Authentifikator
Das folgende Fenster wird angezeigt, in dem wir die Nachricht erhalten, ob die Sicherheitstoken zeitbasiert sind, geben wir ein Y:

VERGRÖSSERN

Schritt 2
PAM verarbeitet zwei Arten von Token, basierend auf Zeit oder sequentiell, die sequentiellen ermöglichen es dem Code, an einem Punkt zu beginnen und dann bei jeder Verwendung zuzunehmen. Der zeitbasierte Token ermöglicht es, den Code nach einer bestimmten Zeit zufällig zu ändern. Zum drücke Y, wir werden folgendes sehen.

Wir sehen a QR-Code welche wir können mit unserem handy scannen oder schreiben Sie den geheimen Schlüssel direkt darunter auf. Auf die gleiche Weise können wir den Verifizierungscode (6-stellig) sehen, der ändert sich alle 30 Sekunden.

VERGRÖSSERN

NotizEs ist wichtig, dass lass uns alle Codes speichern an einem sicheren Ort aufgestellt.

Schritt 3
In der Frage, die wir am Ende der Zeile sehen, bedeutet dies, dass die Schlüssel geschrieben und die Datei aktualisiert wird. Google-AuthentifikatorWenn wir den Buchstaben n eingeben, wird das Programm geschlossen und die Anwendung funktioniert nicht.
Wir geben den Buchstaben ein Ja, wird folgendes angezeigt:

VERGRÖSSERN

Schritt 4
Diese Frage bezieht sich darauf, ob wir akzeptieren Wir vermeiden einen Fehler Wiederholung, bei der jeder Code nach der Verwendung verfällt, verhindert diese Option, dass Außenstehende diese Codes für unbefugten Zugriff erfassen. Durch Drücken von und sehen wir Folgendes:

VERGRÖSSERN

Schritt 5
Wenn wir diese Frage beantworten, erlauben wir bis zu 8 gültige Codes mit einem Zeitfenster von vier Minuten, wenn wir antworten, haben wir nicht nur 3 gültige Codes mit einem Zeitfenster von eineinhalb Minuten. Dort wählen wir die am besten geeignete Option am sichersten sein. Wir werden folgendes noch einmal sehen.

Diese Frage bezieht sich auf die Versuche Begrenzung auf die ein Angreifer zugreifen kann, bevor er blockiert wird, maximal 3 Versuche. Klicke auf Ja, Daher haben wir google-authenticator in CentOS 7 konfiguriert.

VERGRÖSSERN

3. So konfigurieren Sie OpenSSH unter CentOS 7


An dieser Stelle erstellen wir eine zweite SSH-Verbindung um die Tests durchzuführen, denn wenn wir den einzigen SSH-Zugriff blockieren, werden wir Schwierigkeiten haben, die Parameter zu konfigurieren.

Schritt 1
Um diese Werte zu bearbeiten, greifen wir mit dem bevorzugten Editor auf die sshd-Datei zu und geben Folgendes ein: 

 sudo nano /etc/pam.d/sshd

VERGRÖSSERN

Schritt 2
Am Ende der Datei fügen wir folgende Zeile hinzu: 

 Authentifizierung erforderlich pam_google_authenticator.so nullok

VERGRÖSSERN

Schritt 3
Wir behalten die Datei mit der Tastenkombination:

Strg + Aus

Ja wir gingen aus gleich mit der Kombination:

Strg + X

Schritt 3
Der Begriff nullok teilt PAM mit, dass dieser Authentifizierungsfaktor optional ist, sodass Benutzer ohne OATH-TOTP mit ihrem SSH-Schlüssel darauf zugreifen können. Jetzt wir werden sshd konfigurieren Um diese Art der Authentifizierung zu ermöglichen, geben wir dafür folgende Zeile ein: 

 sudo nano / etc / ssh / sshd_config

VERGRÖSSERN

Schritt 4

  • Dort wir werden lokalisieren folgende Zeile:
 HerausforderungAntwortAuthentifizierung
  • Wir werden auskommentieren die Linie:
 HerausforderungAntwortAuthentifizierung ja
  • Wir kommentieren die Zeile:
 ChallengeResponseAuthentifizierungsnr

VERGRÖSSERN

Schritt 4
Wir speichern die Änderungen mit Strg + ODER. und wir starten den Dienst mit der folgenden Zeile neu: 

 sudo systemctl Neustart sshd.service
Schritt 5
Wir können bestätigen Konnektivitätszugriff von einem anderen Terminal aus:

4. So aktivieren Sie SSH für die Verarbeitung von MFA in CentOS 7

Schritt 1
Dazu greifen wir erneut auf die Datei sshd.config zu und fügen im letzten Teil der Datei folgende Zeile hinzu: 

 AuthenticationMethods publickey, Passwort publickey, Tastatur-interaktiv

VERGRÖSSERN

Schritt 2
Wir speichern die Änderungen mit Strg + ODER und dann greifen wir mit der folgenden Zeile auf die PAM-sshd-Datei zu: 

 sudo nano /etc/pam.d/sshd
Schritt 3

Dort werden wir die Linie lokalisieren auth-Substack-Passwort-auth und wir werden es kommentieren (#), damit PAM das Passwort für den Zugriff über SSH nicht benötigt:

VERGRÖSSERN

Schritt 4
Wir behalten die Veränderungen. Wir starten neu den Dienst mit dem Befehl: 

 sudo systemctl Neustart sshd.service

5. So fügen Sie in CentOS 7 einen dritten Authentifizierungsfaktor hinzu

Schritt 1
Wir konnten sehen, dass die folgenden Authentifizierungsfaktoren hinzugefügt wurden: 

 publickey (SSH-Schlüssel) Passwort publickey (Passwort) Tastatur-interaktiv (Verifizierungscode)
Schritt 2
Wenn wir versuchen, eine Verbindung herzustellen, sehen wir nur den SSH-Schlüssel und den Bestätigungscode aktiv, um das Passwort zu aktivieren, reicht es aus, erneut auf die Route zuzugreifen sudo nano /etc/pam.d/sshd und dort die Zeile auskommentieren 
 auth-Substack password-auth.
Schritt 3
Wir speichern die Änderungen und starten den Dienst mit sudo . neu 
 systemctl Neustart sshd.service
Wie wir sehen, haben wir umso mehr Möglichkeiten, ein stabiles und zuverlässiges System für alle Benutzer bereitzustellen, je mehr Sicherheitsstufen wir in CentOS 7 handhaben. Weitere Informationen zur Sicherheit Ihres Systems finden Sie unter wie Sie die Firewall in CentOS 7 konfigurieren, aktivieren oder deaktivieren können.

CentOS7-Firewall

wave wave wave wave wave

Beliebte Beiträge

wave
1
post-title
So installieren und verwenden Sie KVM zum Verwalten von Cloud-Images unter Linux
2
post-title
Zurücksetzen und vergessenes Windows 10-Passwort entfernen, ohne Hirens BootCD PE zu formatieren
3
post-title
So entfernen Sie den Mobilfunkanbieternamen Huawei P smart + Plus
4
post-title
▷ Partition Disk C Windows 10 ohne SSD und HDD formatieren - EINFACH und OHNE PROGRAMME
5
post-title
So aktivieren Sie die automatische Antwort auf Facebook-Nachrichten

Empfohlen

wave
- Sponsored Ad -

Tipp Der Redaktion

wave
- Sponsored Ad -