Güvenlik kalelerinden biridir CentOS7 ve seviyoruz yöneticiler veya bu tür makineleri yöneten BT personeli, risk altında olan kullanıcıların bilgileri olduğundan, bu güvenlik seviyelerinin her gün daha iyi olmasını sağlamalıdır. Uygulayabileceğimiz çeşitli güvenlik önlemleri var. CentOS7 Ve odaklanacağımız ana konulardan biri de kimlik doğrulamadır.
bir faktör kimlik doğrulama Bir kullanıcının, oturumun başlatılması veya bir uygulamanın yüklenmesi gibi sistem içinde bir eylemi gerçekleştirme izinlerine sahip olduğunu belirleyen bir yöntemdir, bu, sistem içinde meydana gelen her olay üzerinde merkezi kontrole sahip olmamızı sağladığı için önemlidir. Kimlik doğrulama sürecinde aşağıdakiler gibi bazı temel bileşenler vardır:
Kimlik doğrulama kanalıKimlik doğrulama sisteminin yolu budur kullanıcıya bir faktör sunar böylece yetkisini, örneğin bir bilgisayarı gösterir.
kimlik doğrulama faktörüBahsettiğimiz gibi, bunu göstermenin yöntemidir. haklarımız var eylemi gerçekleştirmek için, örneğin bir parola.
SSH'nin önceden tanımlanmış parolalar kullandığını biliyoruz, ancak bu bir kimlik doğrulama faktörüdür ve bir kanal eklemek önemlidir. parola yanlış ellerde, operasyonun tüm bütünlüğünü riske atar. Bu sefer, bilinen çoklu kimlik doğrulama faktörlerinin nasıl uygulanacağını konuşacak ve analiz edeceğiz. MFA olarak, çünkü bunlar, doğru bir şekilde oturum açmak için yalnızca bir değil, birkaç kimlik doğrulama parametresi gerektirerek erişim güvenliğini önemli ölçüde artırır.
Aşağıdakiler gibi çeşitli kimlik doğrulama faktörleri vardır:
- Şifreler ve sorular güvenlik.
- Jeton güvenlik.
- Ses veya parmak izi dijital.
1. Google PAM nasıl kurulur
PAM (Takılabilir Kimlik Doğrulama Modülü) temel olarak Linux ortamlarının kullanıcıları için bir kimlik doğrulama altyapısıdır. Bu PAM, TOTP (Zamana Dayalı Tek Kullanımlık Şifre) oluşturur ve Google Authenticator gibi OATH-TOTP uygulamalarıyla uyumludur.
Aşama 1
Kurulum için CentOS 7'de PAM önce EPEL deposunu (Enterprise Linux için Ekstra Paketler) kurmak gerekecek, bunun için aşağıdaki satırı kullanacağız. Kabul ediyoruz paketlerin indirilmesi ve ilgili kurulumu.
sudo yum kurulumu https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
BÜYÜT
Adım 2
EPEL deposu kurulduktan sonra, aşağıdaki satırı kullanarak CentOS 7'ye PAM yükleyeceğiz:
sudo yum google-authenticator'ı kurun
BÜYÜT
Aşama 3
Bu depoyu ilk kez kullanıyorsak, şifrenin kullanımını kabul et nın-nin EPEL ancak bir daha istenmeyecek, bu satıra giriyoruz Edebiyat:
BÜYÜT
Kurulumun başarılı olduğunu görebiliriz. PAM yüklü CentOS 7'de, ikinci bir kimlik doğrulama faktörünün ekleneceği kullanıcı için TOPT'u oluşturmak için yardımcı programın yardımını kullanacağız. açıklığa kavuşturmak önemlidir ki bu anahtar kullanıcı tarafından oluşturulmalıdır ancak her erişim kişisel olduğu için sistem düzeyinde değil.
2. Google PAM nasıl kullanılır?
Şimdi nasıl olduğunu göreceğiz PAM'i çalıştırın ve kullanın Google'ın.
Aşama 1
Bunu akılda tutarak devam ediyoruz google-authenticator'ı başlat aşağıdaki komutu kullanarak:
google-authenticatorGüvenlik belirteçleri zamana dayalı olacaksa, girdiğimiz mesajı aldığımız aşağıdaki pencere görüntülenecektir. Y:
BÜYÜT
Adım 2
PAM, zamana veya sıraya bağlı olarak iki tür belirteç işler, sıralı olanlar kodun bir noktada başlamasına ve ardından her kullanımda artmasına izin verir. Zamana dayalı belirteç, kodun belirli bir süre sonra rastgele değiştirilmesine izin verir. için Y'ye basın, aşağıdakileri göreceğiz.
bir QR kod hangisi telefonumuzla tarayabiliriz veya gizli anahtarı hemen aşağıya yazın. Aynı şekilde doğrulama kodunu (6 haneli) görebiliriz. her 30 saniyede bir değişir.
BÜYÜT
Nothayati önem taşır tüm kodları kaydedelim güvenli bir yerde konuşlandırıldı.
Aşama 3
Satır sonunda gördüğümüz soruda keylerin yazılacağını ve dosyanın güncelleneceğini belirtir. google-authenticatorn harfini girersek program kapanacak ve uygulama çalışmayacaktır.
Mektubu giriyoruz Y, aşağıdakiler görüntülenecektir:
BÜYÜT
4. Adım
Bu soru, kabul edip etmediğimizi ifade eder. başarısızlıktan kaçınırız her kodun kullanımdan sonra süresinin dolmasına neden olan tekrarlama, bu seçenek yabancıların yetkisiz erişim için bu kodları yakalamasını önler. tuşuna basarak aşağıdakileri göreceğiz:
BÜYÜT
Adım 5
Bu soruya dört dakikalık bir pencere ile 8 geçerli koda kadar izin verirsek cevap verirsek, bir buçuk dakikalık pencereli sadece 3 geçerli kodumuz kalmayacak. orada seçiyoruz en uygun seçenek en güvenlisi olmak. Aşağıdakileri tekrar göreceğiz.
Bu soru şu anlama gelir: sınırlama denemeleri bir saldırganın engellenmeden önce erişebileceği maksimum sayı 3 denemedir. Tıklamak Y, bu nedenle google-authenticator'ı CentOS 7'de yapılandırdık.
BÜYÜT
3. CentOS 7'de OpenSSH nasıl yapılandırılır
Bu noktada bir ikinci oluşturacağız SSH bağlantısı testleri yapmak için, çünkü sadece SSH erişimini bloke edersek, parametreleri yapılandırmakta güçlük çekeceğiz.
Aşama 1
Bu değerleri düzenlemek için tercih edilen düzenleyiciyi kullanarak sshd dosyasına erişeceğiz, aşağıdakileri gireceğiz:
sudo nano /etc/pam.d/sshd
BÜYÜT
Adım 2
Dosyanın sonuna aşağıdaki satırı ekleyeceğiz:
auth gerekli pam_google_authenticator.so nullok
BÜYÜT
Aşama 3
tutuyoruz tuş kombinasyonunu kullanarak dosya:
Ctrl + O
Y dışarı çıktık kombinasyonu kullanarak aynı:
Ctrl + X
Aşama 3
Dönem boş PAM'ye bu kimlik doğrulama faktörünün isteğe bağlı olduğunu ve OATH-TOTP'ye sahip olmayan kullanıcıların SSH anahtarlarını kullanarak erişmelerine izin verdiğini söyler. Şimdi sshd'yi yapılandıracağız Bu tür bir kimlik doğrulamaya izin vermek için aşağıdaki satırı gireceğiz:
sudo nano / etc / ssh / sshd_config
BÜYÜT
4. Adım
- Orası bulacağız aşağıdaki satır:
ChallengeResponseAuthentication
- yorumunu kaldıracağız çizgi:
ChallengeResponseAuthentication evet
- Çizgiye yorum yapacağız:
ChallengeResponseAuthentication hayır
BÜYÜT
4. Adım
Değişiklikleri kullanarak kaydediyoruz Ctrl + VEYA. ve aşağıdaki satırı kullanarak hizmeti yeniden başlatıyoruz:
sudo systemctl sshd.service'i yeniden başlatAdım 5
Yapabiliriz doğrulamak başka bir terminalden erişen bağlantı:
4. SSH'nin CentOS 7'de MFA'yı işlemesi nasıl etkinleştirilir
Aşama 1
Bunun için sshd.config dosyasına tekrar erişiyoruz ve dosyanın son kısmına aşağıdaki satırı ekleyeceğiz:
AuthenticationMethods publickey, password publickey, klavye etkileşimli
BÜYÜT
Adım 2
Değişiklikleri kullanarak kaydediyoruz Ctrl + VEYA ve ardından aşağıdaki satırı kullanarak PAM sshd dosyasına erişeceğiz:
sudo nano /etc/pam.d/sshdAşama 3
Orada hattı bulacağız auth alt yığın parola-auth ve PAM'nin SSH erişimi için parola gerektirmemesi için yorum yapacağız (#):
BÜYÜT
4. Adım
tutuyoruz değişiklikler. yeniden başlatıyoruz komutu kullanarak hizmet:
sudo systemctl sshd.service'i yeniden başlat
5. CentOS 7'de üçüncü bir kimlik doğrulama faktörü nasıl eklenir
Aşama 1
Aşağıdaki kimlik doğrulama faktörlerinin eklendiğini görebiliriz:
publickey (SSH anahtarı) password publickey (Parola) klavye etkileşimli (Doğrulama kodu)Adım 2
Bağlanmaya çalışırsak sadece SSH anahtarını ve doğrulama kodunu aktif olarak göreceğiz, şifreyi etkinleştirmek için rotaya tekrar erişmemiz yeterli sudo nano /etc/pam.d/sshd ve orada hattı yorumsuz
auth alt yığın parola-auth.Aşama 3
Değişiklikleri kaydediyoruz ve hizmeti sudo kullanarak yeniden başlatacağız.
systemctl sshd.service'i yeniden başlatGördüğümüz gibi, CentOS 7'de ne kadar fazla güvenlik seviyesi ele alırsak, tüm kullanıcılar için istikrarlı ve güvenilir bir sisteme sahip olmak için o kadar fazla fırsatımız olacak. Sisteminizde güvenlik hakkında bilgi edinmeye devam etmek için bkz. CentOS 7'de Güvenlik Duvarını nasıl yapılandırabilir, etkinleştirebilir veya devre dışı bırakabilirsiniz.
CentOS7 Güvenlik Duvarı
