Angreifer verwenden häufig verlorene, gestohlene, schwache oder Standard-Anmeldeinformationen, um ihre Berechtigungen auszuweiten, nachdem sie Ihr Netzwerk infiltriert haben. Während die Zwei-Faktor-Authentifizierung die Infiltration stark reduzieren kann, gibt es andere Möglichkeiten, sich Zugang zu verschaffen, z. B. Malware. Dieses Tutorial zeigt, wie man Radius zu sudo für Centos 7 und Ubuntu 14.04 für die Zwei-Faktor-Authentifizierung mit dem WiKID Strong Authentication Server hinzufügt. Die Verwendung von pam-radius ist praktisch, da Sie damit einen Radius-Server wie Freeradius oder NPS unter Windows einfügen können, sodass Sie eine Autorisierung in Ihrem Verzeichnis und dann eine Authentifizierung bei einem separaten Zwei-Faktor-Authentifizierungsserver durchführen können. Die Verwaltung Ihrer Benutzer in einem zentralen Verzeichnis ist eine sehr gute Sicherheitspraxis. Beachten Sie, dass diese grundlegende Einrichtung für alle 2FA-Systeme der Enterprise-Klasse funktioniert, da wir RADIUS verwenden.
Konfigurieren Sie sudo auf Centos/RHEL für die Zwei-Faktor-Authentifizierung
Wir beginnen mit RHEL/Centos 7. Installieren Sie die Voraussetzungen:
sudo yum -y install make gcc pam pam-devel
Holen Sie sich den neuesten PAM RADIUS-Code (1.4 zum Zeitpunkt der Erstellung):
wget ftp://ftp.freeradius.org/pub/radius/pam_radius-x.x.x.tar.gz
Erstellen Sie die Bibliothek:
tar -xzvf pam-radius-x.x.x.tar.gz
cd pam-radius-x.x.x
sudo ./configure
sudo make
Kopieren Sie die Bibliothek an den richtigen Ort:
cp pam_radius_auth.so /lib/security/
Oder für 64bit:
cp pam_radius_auth.so /lib64/security/
Erstellen Sie das Konfigurationsverzeichnis und kopieren Sie die Konfigurationsdatei unter dem Namen „server“:
sudo mkdir /etc/raddb
cp pam_radius_auth.conf /etc/raddb/server
Bearbeiten Sie /etc/raddb/server und fügen Sie Ihre Radius-Server-IP und das gemeinsame Geheimnis zu dieser Datei hinzu.
# server[:port] shared_secret timeout (s)
127.0.0.1 secret 1
radius_server_IP secret 3
#
# having localhost in your radius configuration is a Good Thing.
(Beachten Sie, dass wir zwar den Radius in der Schleife haben möchten, Sie können aber auch Ihren WiKID-Server als Radius-Server verwenden, diese Centos-Box als Netzwerkclient auf WiKID hinzufügen, WiKID neu starten und fertig oder Sie können es zumindest auf diese Weise testen. Es ist immer eine gute Idee, unterwegs einige kleine Tests durchzuführen, achte nur darauf, sie zu entfernen.)
Als nächstes müssen wir sudo anweisen, den Radius zu verwenden. Bearbeiten Sie die Datei /etc/pam.d/sudo und ersetzen Sie „auth include system-auth“ durch:
auth required pam_radius_auth.so
Das war's für die Centos/RHEL 7-Box. Dasselbe Setup funktioniert auch für 5 und 6.
Konfiguriere sudo auf Ubuntu für die Zwei-Faktor-Authentifizierung
Als nächstes kommt der Ubuntu 14.04-Server. Installieren Sie zuerst pam-radius:
sudo apt-get install libpam-radius-auth
Konfigurieren Sie es auch mit dem NPS-Server, indem Sie /etc/pam_radius_auth.conf bearbeiten. Damit es dasselbe ist wie oben:
# server[:port] shared_secret timeout (s)
127.0.0.1 secret 1
radius_server_IP secret 3
#
# having localhost in your radius configuration is a Good Thing.
Bearbeiten Sie Ihre /etc/pam.d/sudo-Datei und fügen Sie die Zeile „auth enough pam_radius_auth.so“ über der comm-auth-Zeile hinzu:
auth required pam_env.so readenv=1 user_readenv=0
auth required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
auth sufficient pam_radius_auth.so
@include common-auth
@include common-account
@include common-session-noninteractive
Das ist für den Ubuntu-Server.
Jetzt muss ein Administrator jedes Mal, wenn er versucht, sudo zu verwenden, seinen einmaligen Passcode eingeben. PAM leitet den Benutzernamen und das OTP zur Validierung an Ihren Radius-Server oder Ihren WiKID-Server weiter.
Die Verwendung der Zwei-Faktor-Authentifizierung für Administratorkonten ist ein leistungsstarkes Tool zur Sicherung Ihres Netzwerks. Es kann sogar Teil der PCI-DSS-Anforderungen werden.