Sichern Sie Ihre SSH-Bereitstellung mit WiKID-Zwei-Faktor-Authentifizierung

SSH bietet einen hochsicheren Kanal für die remote Verwaltung von Servern. Wenn Sie jedoch eine Prüfung aufgrund von regulatorischen oder geschäftlichen Anforderungen, wie Visa/Mastercard PCI, durchlaufen, müssen Sie sich einiger potenzieller Authentifizierungsprobleme bewusst sein, die bei einer Prüfung Kopfschmerzen bereiten können. Zum Beispiel:

Es gibt keine Möglichkeit zu kontrollieren, welche Benutzer eine öffentliche Schlüsselautorisierung haben
Es gibt keine Möglichkeit, die Komplexität des Passworts durchzusetzen (oder sogar sicherzustellen, dass eines verwendet wird)
Es gibt keine Möglichkeit, einen öffentlichen Schlüssel ablaufen zu lassen

In diesem Dokument werden wir demonstrieren, wie man die Zwei-Faktor-Authentifizierung von WiKID mit einem SSH-Gateway-Server kombiniert, der gehostete private Schlüssel verwendet, um eine hochsichere, prüfbare und benutzerfreundliche Remote-Zugriffslösung zu schaffen. Das WiKID Strong Authentication System ist eine kommerzielle/open-source Zwei-Faktor-Authentifizierungslösung. Zuerst werden wir eine Domain auf dem WiKID-Server konfigurieren, dann die Server als Netzwerkclients zum WiKID-Server hinzufügen und schließlich die Gateway-Box und die Zielserver konfigurieren - in unserem Fall Fedora Core 6-Server.

Hinzufügen einer Domain zum WiKID-Server

Erstellen eines Netzwerkclients

Nachdem Sie die Domaininformationen gespeichert haben, klicken Sie auf die Registerkarte Netzwerkclient und Neuen Netzwerkclient erstellen. Geben Sie einen Namen für diesen Client und die IP-Adresse des SSH-Gateways im internen Netzwerk ein. Wählen Sie Radius als Protokoll und die oben erstellte Domain aus.

Klicken Sie auf Hinzufügen, um zur nächsten Seite zu gelangen, und geben Sie das gemeinsame Geheimnis für Radius ein.

Sie müssen diesen Prozess für jeden Server in Ihrem Netzwerk wiederholen.

Konfigurieren des SSH-Gateways

Jetzt werden wir das zentrale SSH-Gateway konfigurieren. Diese Linux-Box ist das Gateway/Proxy zu allen Produktionsservern in der Farm. Sie sollte streng gesichert sein, ohne überflüssige Software oder Dienste, die darauf laufen. Sie sollte eine externe Schnittstelle für eingehende Verbindungen und eine interne Schnittstelle für interne Verbindungen haben. Zuerst werden wir die Gateway-Box so konfigurieren, dass sie WiKID für die starke Authentifizierung von SSH-Benutzern verwendet. Bearbeiten Sie Ihre /etc/pam.d/sshd-Datei wie folgt:

#%PAM-1.0   
auth       sufficient   /lib/security/pam_radius_auth.so   
auth       include      system-auth   
account    required     pam_nologin.so   
account    include      system-auth   
password   include      system-auth   
session    include      system-auth   
session    required     pam_loginuid.so

Fügen Sie Ihren WiKID-Server zur /etc/raddb/server-Datei hinzu, indem Sie die interne IP-Adresse des WiKID-Servers und das gemeinsame Geheimnis, das Sie auf der Seite zur Erstellung des Netzwerkclients eingegeben haben, verwenden:

# server[:port] shared_secret      timeout (s)   
127.0.0.1       secret             1   
xxx.xxx.xxx.xx  wikidserver_secret 3

Fügen wir hier auch etwas Sicherheit zur SSH-Konfiguration hinzu. Öffnen Sie Ihre /etc/ssh/sshd_config (nicht die nahegelegene ssh_config-Datei). Fügen Sie diese Konfigurationsoptionen hinzu:

#Protocol 2,1   
#Überprüfen, dass nur Protokoll 2 erlaubt ist:   
Protocol 2   
#Root-Login verbieten:   
PermitRootLogin no   
#Konten ohne Passwörter verbieten:   
PermitEmptyPasswords no

Wenn Sie den Port ändern möchten, können Sie das tun. Es wird einen Angreifer nicht aufhalten, aber es könnte die Protokollereignisse reduzieren, die durch Script-Kiddies verursacht werden. Diese Gateway-Box ist jetzt so eingestellt, dass sie WiKID-Einmalpasswörter für die SSH-Authentifizierung verwendet. Alle Benutzer müssen beim WiKID-Server registriert sein, und niemand kann sich als Root anmelden. Bevor wir diese Box verlassen, werden wir etwas tun, das ein wenig anders ist - wir lassen die Benutzer ihren RSA-Privatschlüssel auf dem Gateway erstellen. Sobald sich jeder Benutzer mit WiKID in die Box eingeloggt hat, lassen Sie sie ihre Schlüssel erstellen:

ssh-keygen -t rsa

Meiner Meinung nach sind Passphrasen für diese Schlüssel überflüssig. Sie dienen nur dazu, eine Single-Sign-On-Funktionalität in die Serverfarm zu schaffen. Offensichtlich müssen Sie darauf achten, dass Benutzer keinen Zugriff auf andere Schlüssel haben.

Konfigurieren der Zielserver

Offensichtlich konfigurieren wir diese Server so, dass sie nur eingehende SSH-Anfragen vom Gateway akzeptieren. Wir tun dies, indem wir den Zugriff auf Port 22 auf unsere internen Adressen beschränken. Bearbeiten Sie /etc/sysconfig/iptables und fügen Sie die Zeile für SSH auf Port 22 hinzu oder bearbeiten Sie sie:

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT

Die Chancen stehen gut, dass Sie die Standardkonfiguration für sshd_config verwenden können, die die Authentifizierung mit öffentlichen Schlüsseln erlaubt. Also, sind wir fertig!

Fazit

Remote-SSH ist jetzt extrem sicher. Kein Benutzer kann auf die Serverfarm zugreifen, ohne zuerst einen Einmalpasscode vom WiKID-Server zu erhalten. Die beiden Faktoren der Authentifizierung sind der Besitz des WiKID-Tokens (und seines kryptografischen Schlüssels) und das Wissen um die PIN. Da die PIN auf dem WiKID-Server validiert wird, ist es sehr einfach, einen Benutzer zu deaktivieren. Alles wird protokolliert und jeder Prüfer sollte sehr zufrieden sein.

Zusätzlich könnten Sie einen WiKID-Einmalpasscode für den Root-Zugriff auf internen Maschinen verlangen. Erstellen Sie einfach eine neue Domain für su und bearbeiten Sie /etc/pam.d/su entsprechend. Dies ermöglicht es Ihnen auch, die Server in verschiedene Gruppen für das Management zu unterteilen. Erstellen Sie beispielsweise eine Gruppe von Servern für die Personalabteilung, auf die nur bestimmte Administratoren Root-Zugriff haben, die für eine spezifische WiKID-Domain konfiguriert werden können - was eine feingranulare Zugriffskontrolle und starke Authentifizierung ermöglicht. Erhalten Sie weitere Informationen zur Zwei-Faktor-Authentifizierung auf der WiKID-Website.