WiKID2要素認証を使用したRedhat/CentosでのSSHの保護

次に、ターゲットマシンでSSHを構成します。 Linuxの各フレーバーは、PAMの処理が少し異なります。このチュートリアルでは、Redhatに2要素認証用のpam-radiusをインストールする方法について説明します。

まず、ソースのtarファイルをダウンロードします。現在のバージョンは1.3.17です

$ wget ftp://ftp.freeradius.org/pub/radius/pam_radius-1.3.17.tar.gz

ファイルを解凍します：

$ tar -xzvf pam_radius-1.3.17.tar.gz

pam-develをインストールします：

$ sudo yum install pam-devel

作成したディレクトリに移動し、makeを実行します：

$ make

いくつかのエラーが表示される場合がありますが、.soが作成されている場合は、問題ないはずです。ライブラリを適切な場所にコピーします：

$ sudo cp pam_radius_auth.so /lib/security/

お気に入りのエディターを使用して、認証にradiusを使用するようにSSHに指示します。これを最初の行として追加します：

auth十分な/lib/security/pam_radius_auth.so

ファイルを保存して終了します。

次に、RADIUSサーバーがどこにあるかをPAMに通知する必要があります。この場合、それはWiKIDサーバーです。 （注：radiusを使用するもう1つの利点は、認証要求をディレクトリ（承認にはLDAPまたはAD）を介してルーティングすることです。これを強くお勧めします。）

/ etc / raddb/serverファイルを編集または作成します。ここにサンプルがあります。

$ sudo vim /etc/pam_radius_auth.conf 

「other-serverother-secret3」の行を編集し、「other-server」をWiKID強力認証サーバー（またはWiKIDとサーバーの間に設定されている場合はradiusサーバー）のIPアドレスまたはホスト名に置き換えて「other」を変更します-secret'このネットワーククライアントの共有シークレット。

これで、テストする準備が整いました。テスト中は「tail-f/var / log/secure」を実行することをお勧めします。

アカウントの設定は変更されていないため、ユーザーはマシンにローカルアカウントを持っている必要があります。または、pam_ldapを使用してAD/LDAPサーバーを指すようにアカウントを構成できます。

リモートSSHは非常に安全になりました。 WiKIDサーバーからワンタイムパスコードを最初に取得しない限り、ユーザーはサーバーにアクセスできません。認証の2つの要素は、WiKIDトークン（およびその暗号化キー）の所有とPINの知識です。 PINはWiKIDサーバーで検証されるため、ユーザーを無効にするのは非常に簡単です。すべてがログに記録され、監査人は非常に満足するはずです。

さらに、内部マシンのルートアクセスにWiKIDワンタイムパスコードが必要になる場合があります。 suの新しいドメインを作成し、/ etc / pam.d/suを適切に編集するだけです。これにより、サーバーを管理のために異なるグループに分割することもできます。たとえば、特定の管理者のみがルートアクセス権を持つHR用のサーバーのセットがある場合、それらを特定のWiKIDドメイン用に構成できます。これにより、きめ細かいアクセス制御と強力な認証が可能になります。 WiKIDWebサイトから2要素認証の詳細を入手してください。