LinuxParty
NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.
SSH ofrece un canal de alta seguridad para la administración remota de servidores. Sin embargo, si se enfrentan a una auditoría de seguridad para conocer los requisitos reglamentarios o de negocios, tales como Visa / Mastercard, usted necesita ser consciente de algunas potenciales autentificaciones adicionales relacionadas con deficiencias que pueden causarles dolores de cabeza en una auditoría. Por ejemplo:
- No hay manera de controlar qué usuarios tienen la autorización de clave pública
- No hay manera de hacer cumplir la complejidad de la frase de contraseña (o incluso estar seguro de que uno se está utilizando)
- No hay manera de expirar una clave pública
En este documento vamos a demostrar cómo configurar la autenticación de dos factores (o pasos) desde WiKID en RedHat. El Sistema de Autenticación WiKID es una solución de autenticación de dos factores, para uso comercial y código abierto. En primer lugar, vamos a configurar un dominio en el servidor WiKID, a continuación, agregue el servidor objetivo como clientes de red con el servidor WiKID, y finalmente configurar el cuadro de Redhat usando pam-radius.
Suponemos que su servidor está en marcha y que estamos listos para implementar la autenticación de dos factores en su entorno.
Añadir un dominio al servidor WiKID
Crear un cliente de Red
Después de guardar la información de dominio, haga clic en la ficha de cliente de red y cree nuevo cliente de red. Escriba un nombre para este cliente y la dirección IP de la puerta de enlace SSH en la red interna. Seleccione "Radius" como el protocolo y el dominio que ha creado anteriormente como el dominio.
Haga clic en Agregar para conseguir la siguiente página y especifique la palabra secreta "Shared Secret" para RADIUS.
Usted tendrá que repetir este proceso para cada servidor de la red.
Configurar SSH en su Redhat
Ahora vamos a configurar SSH en el equipo de destino. Cada distro linux maneja PAM de forma ligeramente diferente. En este tutorial se explica cómo instalar pam-radius para la autenticación de dos factores en Redhat.
En primer lugar, descargue el archivo fuente tar. La versión actual es la 1.3.17
$ wget ftp://ftp.freeradius.org/pub/radius/pam_radius-1.3.17.tar.gz
Untar el fichero:
$ tar -xzvf pam_radius-1.3.17.tar.gz
Instalar pam-devel:
$ sudo yum install pam-devel
Cambie al directorio y ejecute make:
$ make
Es posible que vea algunos errores, pero si el archivo se crea así, Copie la biblioteca en la ubicación adecuada:
$ sudo cp pam_radius_auth.so /lib/security/
Usa tu editor favorito para decirle SSH que debe utilizar RADIUS para la autenticación. Añadir esto como la primera línea:
auth sufficient /lib/security/pam_radius_auth.so
Guarde el archivo y salga.
Ahora tenemos que decirle PAM donde está el servidor Radius. En este caso es el servidor WiKID. (Otro de los beneficios de la utilización de Radius es de encaminar las peticiones de autenticación a través de su directorio LDAP o AD - de autorización. Lo cual recomendamos encarecidamente)
Editar o crear el fichero /etc/raddb/server. Hay una muestra aquí.
$ sudo vim /etc/pam_radius_auth.conf
El fichero (por si acaso) te lo mostramos aquí:
# pam_radius_auth configuration file. Copy to: /etc/raddb/server # # For proper security, this file SHOULD have permissions 0600, # that is readable by root, and NO ONE else. If anyone other than # root can read this file, then they can spoof responses from the server! # # There are 3 fields per line in this file. There may be multiple # lines. Blank lines or lines beginning with '#' are treated as # comments, and are ignored. The fields are: # # server[:port] secret [timeout] # # the port name or number is optional. The default port name is # "radius", and is looked up from /etc/services The timeout field is # optional. The default timeout is 3 seconds. # # If multiple RADIUS server lines exist, they are tried in order. The # first server to return success or failure causes the module to return # success or failure. Only if a server fails to response is it skipped, # and the next server in turn is used. # # The timeout field controls how many seconds the module waits before # deciding that the server has failed to respond. # # server[:port] shared_secret timeout (s) 127.0.0.1 secret 1 other-server other-secret 3 # # having localhost in your radius configuration is a Good Thing. # # See the INSTALL file for pam.conf hints.
Modifique la línea "other-server other-secret 3" reemplazando "other-server con la dirección IP o nombre de host de su servidor de autenticación WiKID (o servidor Radius si tiene uno establecido entre WiKID y sus servidores) y cambie la palabra secreta compartida "other-secret" para este cliente de red.
Ahora, usted está listo para probar. Te recomiendo que ejecutes 'tail -f /var/log/secure' mientras prueba.
Tenga en cuenta que no hemos realizado ningún cambio en la configuración de la cuenta, por lo que se espera que el usuario tenga una cuenta local en el equipo o se puede configurar la cuenta para usar pam_ldap y apunte a su servidor AD / LDAP.
SSH remoto es ahora extremadamente seguro. Ningún usuario puede tener acceso al servidor sin haber conseguido primero una contraseña desde el servidor WiKID. Los dos factores de autenticación son posesión del testigo WiKID (y es clave criptográfica) y el conocimiento del PIN. Debido a que el PIN es validado en el servidor de WiKID, es muy fácil de desactivar un usuario. Todo está conectado y cualquier auditor debe estar muy contento.
Además, usted podría requerir una contraseña WiKID de una sola vez para el acceso root en máquinas internas. Basta con crear un nuevo dominio y editar /etc/pam.d/su apropiada. Esto también le permitirá romper los servidores en diferentes grupos para la gestión. Por ejemplo, si usted tiene un conjunto de servidores para recursos humanos para que sólo ciertos administradores tengan acceso de root, pueden ser configurados para un dominio específico WiKID -que permita el control de acceso y autenticación.
Obtenga más información sobre la autenticación de dos factores desde el sitio web WiKID
-
Seguridad
- Conexión Segura NFS en Linux, Tunelizar NFS sobre SSH y Configuración de NFS sobre SSH para Mayor Seguridad
- Utilizar ssh sin contraseña con ssh-keygen y ssh-copy-id
- Millones de teléfonos móviles podrían ser vulnerables a la vigilancia del gobierno chino
- Cómo limitar las conexiones SSH a la red local en Linux
- Los televisores inteligentes son como un «caballo de Troya digital» en los hogares
- Snort para Windows, detección de Intrusos y seguridad.
- Detección de Intrusiones con las herramientas: BASE y Snort.
- El Sistema de Detección de Intrusos: Snort. ( Windows y Linux )
- Configuración con Ejemplos de Snort para Windows, detección de intrusiones
- ¿El gobierno de EE. UU. ignoró la oportunidad de hacer que TikTok fuera más seguro?
- ¿Qué es SSH y cómo se utiliza? Los conceptos básicos de Secure Shell que necesitas saber
- Asegurar memcached del servidor, para evitar amplificar ataques DDoS
- Consejos de Seguridad para Pagos Móviles en España: Protege tus Transacciones con Estos Consejos Prácticos
- 22 herramientas de seguridad de servidores Linux de código abierto en 2023
- 8 hábitos que deben tomar los teletrabajadores altamente seguros
Redes: |
 |
 |
 |
Suscribete / Newsletter
El Top de LinuxParty
- Cambiar la Hora y la Fecha al sistema Linux
- Cómo configurar la tarjeta de Red Inalámbrica ( WiFi ) en Linux
- Manual para hackear una red wifi
- Cómo configurar el Modem USB o Tarjeta GPRS / 3G para Linux.
- 20 Comandos Netstat para Administradores de Redes Linux
- 29 Prácticos ejemplos de Nmap para Administradores de Sistemas / Redes
- Tutorial de C/C++, programar paso a paso, para Linux, Windows y Mac
- Exportar Bases de Datos de Access (MDB) a MySQL
- ERROR 1045: Access denied for user: 'root@localhost' (Using password: YES)
- 20 ejemplos iptables para administradores de sistemas Linux
- Introducción a los comandos SNMP, snmpwalk, snmpget, snmptranslate...
- Cómo Montar tu Propio Wiki
- Cómo bloquear fotos e imágenes porno con SafeSquid, servidor proxy
- Instalar Microsoft Office en Linux (con Wine)
- Cómo Crear una Base de Datos MySQL e inicializar los privilegios.
- Programar y depurar en un IDE para PHP con Eclipse, plugins PDT, xdebug y Remote debug
- 40 cosas que probablemente no sepas sobre Linux
- Sexo, Violencia, y Tensión en los Juegos.
- Los 27 mejores IDEs para programación C/C++ o editores de código de Linux
- Renombrar multiples archivos masivamente en Linux (quitar espacios, cambiar mayúsculas) a la vez en Linux
Donar a LinuxParty
Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?
Tutorial de Linux
Formulario de acceso
Últimos comentarios
- Buscar y reemplazar en Vim (1)
- En Italia ha caido un meteorito de más de 45.000 millones de años (2)
- Los mejores juegos de GNU/Linux – Una larga lista (1)
- Cómo configurar DRBD para replicar el almacenamiento en dos servidores CentOS 7 y 8 (1)
- Aprender a programar en Basic con QB64, La versión QuickBASIC para Linux, MacOS y Windows es la opción que las escuelas deberían escoger (2)
- Por qué Linux no triunfa en el Escritorio. (1)
- Configuración del servidor DNS en Linux (3)
- Los 27 mejores IDEs para programación C/C++ o editores de código de Linux (1)
- Q4OS hace que Linux sea fácil para todos (1)
- Cómo configurar un servidor de correo con Postfix y Dovecot para diferentes necesidades (9)