Penyerang sering menggunakan kredensial yang hilang, dicuri, lemah, atau default untuk meningkatkan hak istimewa mereka setelah mereka menyusup ke jaringan Anda. Sementara otentikasi dua faktor dapat sangat mengurangi infiltrasi, ada cara lain untuk mendapatkan entri seperti malware. Tutorial ini menunjukkan cara menambahkan radius ke sudo untuk Centos 7 dan Ubuntu 14.04 untuk otentikasi dua faktor dengan server Otentikasi Kuat WiKID. Menggunakan pam-radius bagus karena memungkinkan Anda untuk memasukkan server radius, seperti Freeradius atau NPS di Windows, sehingga Anda dapat melakukan otorisasi di direktori Anda dan kemudian otentikasi terhadap server auth dua faktor yang terpisah. Mengelola pengguna Anda di direktori pusat adalah praktik keamanan yang sangat baik. Perhatikan bahwa karena kami menggunakan RADIUS, pengaturan dasar ini berfungsi untuk semua sistem 2FA kelas perusahaan.
Konfigurasikan sudo di Centos/RHEL untuk otentikasi dua faktor
Kita akan mulai di RHEL/Centos 7. Instal prasyaratnya:
sudo yum -y install make gcc pam pam-devel
Dapatkan kode PAM RADIUS terbaru (1.4 pada tulisan ini):
wget ftp://ftp.freeradius.org/pub/radius/pam_radius-x.x.x.tar.gz
Bangun perpustakaan:
tar -xzvf pam-radius-x.x.x.tar.gz
cd pam-radius-x.x.x
sudo ./configure
sudo make
Salin perpustakaan ke lokasi yang tepat:
cp pam_radius_auth.so /lib/security/
Atau untuk 64bit:
cp pam_radius_auth.so /lib64/security/
Buat direktori konfigurasi dan salin file konfigurasi dengan nama 'server':
sudo mkdir /etc/raddb
cp pam_radius_auth.conf /etc/raddb/server
Edit /etc/raddb/server dan tambahkan IP server radius Anda dan rahasia bersama ke file ini.
# server[:port] shared_secret timeout (s)
127.0.0.1 secret 1
radius_server_IP secret 3
#
# having localhost in your radius configuration is a Good Thing.
(Perhatikan bahwa sementara kami ingin radius pada akhirnya, Anda juga dapat menggunakan server WiKID Anda sebagai server radius, menambahkan kotak Centos ini sebagai klien jaringan di WiKID, memulai ulang WiKID dan selesai atau setidaknya Anda dapat menguji dengan cara ini. Itu selalu merupakan ide yang baik untuk melakukan beberapa tes kecil di sepanjang jalan, pastikan untuk menghapusnya.)
Selanjutnya, kita perlu memberi tahu Sudo untuk menggunakan radius. Edit file /etc/pam.d/sudo dan ganti "auth include system-auth" dengan:
auth required pam_radius_auth.so
Itu saja untuk kotak Centos/RHEL 7. Pengaturan yang sama juga berfungsi untuk 5 dan 6.
Konfigurasikan sudo di Ubuntu untuk otentikasi dua faktor
Selanjutnya adalah server Ubuntu 14.04. Pertama, instal pam-radius:
sudo apt-get install libpam-radius-auth
Konfigurasikan dengan server NPS juga dengan mengedit /etc/pam_radius_auth.conf. Sehingga sama seperti diatas :
# server[:port] shared_secret timeout (s)
127.0.0.1 secret 1
radius_server_IP secret 3
#
# having localhost in your radius configuration is a Good Thing.
Edit file /etc/pam.d/sudo Anda dan tambahkan baris ' auth enough pam_radius_auth.so' di atas baris comm-auth:
auth required pam_env.so readenv=1 user_readenv=0
auth required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
auth sufficient pam_radius_auth.so
@include common-auth
@include common-account
@include common-session-noninteractive
Itu untuk server Ubuntu.
Sekarang, setiap kali admin mencoba menggunakan sudo, mereka harus memasukkan kode sandi satu kali. PAM akan meneruskan nama pengguna dan OTP ke server radius atau server WiKID Anda untuk validasi.
Menggunakan otentikasi dua faktor untuk akun administratif adalah alat yang ampuh untuk mengamankan jaringan Anda. Bahkan mungkin menjadi bagian dari persyaratan PCI DSS.