Útočníci často používají ztracené, odcizené, slabé nebo výchozí přihlašovací údaje k eskalaci svých oprávnění poté, co pronikli do vaší sítě. Zatímco dvoufaktorová autentizace může výrazně snížit infiltraci, existují i jiné způsoby, jak získat vstup, jako je malware. Tento tutoriál ukazuje, jak přidat rádius do sudo pro Centos 7 a Ubuntu 14.04 pro dvoufaktorové ověřování pomocí serveru WiKID Strong Authentication. Použití pam-radius je hezké, protože vám umožňuje vložit radius server, jako je Freeradius nebo NPS ve Windows, takže můžete provést autorizaci ve vašem adresáři a poté ověření proti samostatnému dvoufaktorovému auth serveru. Správa uživatelů v centrálním adresáři je velmi dobrou bezpečnostní praxí. Všimněte si, že protože používáme RADIUS, toto základní nastavení funguje pro všechny systémy 2FA podnikové třídy.
Nakonfigurujte sudo na Centos/RHEL pro dvoufaktorové ověřování
Začneme na RHEL/Centos 7. Nainstalujte si předpoklady:
sudo yum -y install make gcc pam pam-devel
Získejte nejnovější kód PAM RADIUS (1.4 v době psaní tohoto článku):
wget ftp://ftp.freeradius.org/pub/radius/pam_radius-x.x.x.tar.gz
Sestavte knihovnu:
tar -xzvf pam-radius-x.x.x.tar.gz
cd pam-radius-x.x.x
sudo ./configure
sudo make
Zkopírujte knihovnu do správného umístění:
cp pam_radius_auth.so /lib/security/
Nebo pro 64bit:
cp pam_radius_auth.so /lib64/security/
Vytvořte konfigurační adresář a zkopírujte konfigurační soubor pod názvem 'server':
sudo mkdir /etc/raddb
cp pam_radius_auth.conf /etc/raddb/server
Upravte /etc/raddb/server a přidejte do tohoto souboru IP adresu svého radius serveru a sdílený tajný klíč.
# server[:port] shared_secret timeout (s)
127.0.0.1 secret 1
radius_server_IP secret 3
#
# having localhost in your radius configuration is a Good Thing.
(Všimněte si, že i když chceme rádius nakonec ve smyčce, můžete také použít svůj server WiKID jako server rádius, přidat tento box Centos jako síťového klienta na WiKID, restartovat WiKID a hotovo, nebo můžete alespoň testovat tímto způsobem. Vždy je dobré si po cestě udělat nějaké malé testy, jen je nezapomeňte odstranit.)
Dále musíme říci sudo, aby použilo poloměr. Upravte soubor /etc/pam.d/sudo a nahraďte „auth include system-auth“ za:
auth required pam_radius_auth.so
To je pro krabici Centos/RHEL 7 vše. Stejné nastavení funguje i pro 5 a 6.
Nakonfigurujte sudo na Ubuntu pro dvoufaktorové ověřování
Další na řadě je server Ubuntu 14.04. Nejprve nainstalujte pam-radius:
sudo apt-get install libpam-radius-auth
Nakonfigurujte jej také se serverem NPS úpravou souboru /etc/pam_radius_auth.conf. Aby to bylo stejné jako výše:
# server[:port] shared_secret timeout (s)
127.0.0.1 secret 1
radius_server_IP secret 3
#
# having localhost in your radius configuration is a Good Thing.
Upravte svůj soubor /etc/pam.d/sudo a nad řádek comm-auth přidejte řádek „auth dostatečné pam_radius_auth.so“:
auth required pam_env.so readenv=1 user_readenv=0
auth required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
auth sufficient pam_radius_auth.so
@include common-auth
@include common-account
@include common-session-noninteractive
To je pro server Ubuntu.
Nyní, kdykoli se správce pokusí použít sudo, musí zadat svůj jednorázový přístupový kód. PAM předá uživatelské jméno a OTP vašemu radius serveru nebo vašemu WiKID serveru k ověření.
Použití dvoufaktorové autentizace pro účty správců je mocný nástroj pro zabezpečení vaší sítě. Může se dokonce stát součástí požadavků PCI DSS.