Kẻ tấn công thường sử dụng thông tin xác thực bị mất, bị đánh cắp, yếu hoặc mặc định để nâng cao đặc quyền sau khi đã xâm nhập vào mạng của bạn. Mặc dù xác thực hai yếu tố có thể giảm đáng kể tình trạng xâm nhập, nhưng vẫn có những cách khác để xâm nhập như phần mềm độc hại. Hướng dẫn này chỉ cách thêm radius vào sudo cho Centos 7 và Ubuntu 14.04 để xác thực hai yếu tố với Máy chủ xác thực mạnh WiKID. Sử dụng pam-radius rất tuyệt vì nó cho phép bạn chèn máy chủ radius, chẳng hạn như Freeradius hoặc NPS trên Windows, để bạn có thể thực hiện ủy quyền trong thư mục của mình rồi xác thực với máy chủ xác thực hai yếu tố riêng biệt. Quản lý người dùng của bạn trong thư mục trung tâm là một biện pháp bảo mật rất tốt. Lưu ý rằng vì chúng ta đang sử dụng RADIUS, nên thiết lập cơ bản này hoạt động với tất cả các hệ thống 2FA cấp doanh nghiệp.
Nhận mã PAM RADIUS mới nhất (1.4 tính đến thời điểm viết bài này):
Xây dựng thư viện:
Sao chép thư viện vào đúng vị trí:
Hoặc đối với 64bit:
Tạo thư mục cấu hình và sao chép tệp cấu hình có tên 'server':
Chỉnh sửa /etc/raddb/server và thêm IP máy chủ radius và bí mật được chia sẻ vào tệp này.
(Lưu ý rằng mặc dù cuối cùng chúng ta muốn radiusin loop, bạn cũng có thể sử dụng máy chủ WiKID của mình làm máy chủ radius, thêm hộp Centos này làm máy khách mạng trên WiKID, khởi động lại WiKID và hoàn tất hoặc ít nhất là bạn có thể kiểm tra theo cách này. Luôn là một ý tưởng hay khi thực hiện một số thử nghiệm nhỏ trong quá trình này, chỉ cần đảm bảo xóa chúng.)
Tiếp theo, chúng ta cần yêu cầu sudo sử dụng radius. Chỉnh sửa tệp /etc/pam.d/sudo và thay thế "auth include system-auth" bằng:
Vậy là xong đối với hộp Centos/RHEL 7. Thiết lập tương tự cũng áp dụng cho 5 và 6.
Cấu hình nó với máy chủ NPS bằng cách chỉnh sửa /etc/pam_radius_auth.conf. Để nó giống như trên:
Chỉnh sửa tệp /etc/pam.d/sudo của bạn và thêm dòng ' auth enough pam_radius_auth.so' phía trên dòng comm-auth:
Đó là dành cho máy chủ Ubuntu.
Bây giờ, bất cứ khi nào quản trị viên cố gắng sử dụng sudo, họ phải nhập mật mã một lần của mình. PAM sẽ chuyển tiếp tên người dùng và OTP đến máy chủ radius hoặc máy chủ WiKID của bạn để xác thực.
Sử dụng xác thực hai yếu tố cho tài khoản quản trị là một công cụ mạnh mẽ để bảo mật mạng của bạn. Nó thậm chí có thể trở thành một phần của yêu cầu PCI DSS.
Cấu hình sudo trên Centos/RHEL để xác thực hai yếu tố
Chúng ta sẽ bắt đầu trên RHEL/Centos 7. Cài đặt các điều kiện tiên quyết:
Mã:
sudo yum -y install make gcc pam pam-devel
Mã:
wget ftp://ftp.freeradius.org/pub/radius/pam_radius-x.x.x.tar.gz
Mã:
tar -xzvf pam-radius-x.x.x.tar.gz
cd pam-radius-x.x.x
sudo ./configure
sudo make
Mã:
cp pam_radius_auth.so /lib/security/
Mã:
cp pam_radius_auth.so /lib64/security/
Mã:
sudo mkdir /etc/raddb
cp pam_radius_auth.conf /etc/raddb/server
Mã:
# server[:port] shared_secret timeout (giây)
127.0.0.1 secret 1
radius_server_IP secret 3
#
# có localhost trong cấu hình radius của bạn là một điều tốt.Tiếp theo, chúng ta cần yêu cầu sudo sử dụng radius. Chỉnh sửa tệp /etc/pam.d/sudo và thay thế "auth include system-auth" bằng:
Mã:
auth required pam_radius_auth.soCấu hình sudo trên Ubuntu để xác thực hai yếu tố
Tiếp theo là máy chủ Ubuntu 14.04. Trước tiên, hãy cài đặt pam-radius:
Mã:
sudo apt-get install libpam-radius-auth
Mã:
# server[:port] shared_secret timeout (s)
127.0.0.1 secret 1
radius_server_IP secret 3
#
# có localhost trong cấu hình radius của bạn là một điều tốt.
Mã:
auth required pam_env.so readenv=1 user_readenv=0
auth required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
auth enough pam_radius_auth.so
@include common-auth
@include common-account
@include common-session-noninteractiveBây giờ, bất cứ khi nào quản trị viên cố gắng sử dụng sudo, họ phải nhập mật mã một lần của mình. PAM sẽ chuyển tiếp tên người dùng và OTP đến máy chủ radius hoặc máy chủ WiKID của bạn để xác thực.
Sử dụng xác thực hai yếu tố cho tài khoản quản trị là một công cụ mạnh mẽ để bảo mật mạng của bạn. Nó thậm chí có thể trở thành một phần của yêu cầu PCI DSS.
