usepam yes что это
Тонкая настройка демона SSH на Linux VPS
SSH – это основной способ подключения к удаленным Linux- и Unix-подобным серверам с помощью командной строки. SSH обеспечивает безопасное соединение, которое позволяет запускать команды, взаимодействовать с системой и создавать туннели.
Большинство пользователей знают об основных принципах запуска и подключения к удаленному серверу. Обычно это делается с помощью такой команды:
Есть еще много вариантов настройки SSH-демона, которые могут повысить безопасность, улучшить управление пользовательскими подключениями и т. д. В данном руководстве рассматриваются опции тонкой настройки SSH.
Примечание: Руководство выполнено на сервере Ubuntu 12.04, но любой современный дистрибутив Linux должен работать аналогичным образом.
1: Конфигурационный файл SSHD
Основным конфигурационным файлом демона SSH является /etc/ssh/sshd_config.
Примечание: Не путайте этот файл с ssh_config, который определяет параметры клиентов.
Откройте файл в редакторе:
sudo nano /etc/ssh/sshd_config
Вы увидите файл с большим количеством опций и комментариев (в зависимости от вашего дистрибутива). Большинство дистрибутивов предлагают довольно хорошие значения по умолчанию, но при желании вы можете отладить параметры и сделать их ещё лучше.
Рассмотрим базовые опции в файле дистрибутива Ubuntu 12.04.
Порты и протоколы
Ключи
Логирование и ограничения
Отображение на экране
Подключения и среда
2: Другие опции SSHD
Есть много других опций, которые может использовать SSH-демон. Некоторые из них могут быть полезны в большинстве случаев, а другие можно использовать только в определенных обстоятельствах. Рассмотрим основные опции.
Фильтрация пользователей и групп
Некоторые параметры позволяют контролировать, какие пользователи будут иметь возможность входа через SSH. Эти опции следует рассматривать как взаимоисключающие. Например, параметр AllowUsers подразумевает, что всем остальным пользователям доступ запрещен.
Кроме того, существуют другие ограничительные параметры. Они могут использоваться в сочетании с любым из вышеперечисленных параметров.
Дополнительные опции
Существует несколько параметров для настройки сетевого трафика, который будет прослушивать демон SSH:
Доступны также параметры для настройки аутентификации на основе сертификатов, параметры ограничения подключения (ClientAliveCountMax и ClientAliveInterval), а также опции, которые могут изолировать вошедшего в систему пользователя в предварительно сконфигурированной среде chroot (опция ChrootDirectory).
3: Ограничение входа
Вые были упомянуты некоторые из инструментов, которые могут ограничить доступ пользователей и групп к системе. Рассмотрим их подробнее.
Самый простой синтаксис выглядит примерно так:
AllowUsers demouser fakeuser madeupuser
Как видите, в каждой из этих директив можно указать несколько пользователей через пробел.
Мы также можем использовать подстановочные символы и инвертированные параметры. Например, чтобы разрешить доступ всем, кроме пользователя john, можно ввести:
Эта строка сделает то же самое:
разрешит доступ в систему пользователям tim, jim, vim и т.п.
В определении пользователей можно использовать формат user@hostname, чтобы ограничить вход пользователю, который привязан к конкретному хосту.
AllowUsers demouser@host1.com fakeuser
Эта опция заблокирует доступ всем пользователям с именем fakeuser и пользователю demouser, если он принадлежит хосту host1.
Также ограничить доступ по хосту вне файла sshd_config через TCP-упаковщики. Это настраивается с помощью файлов /etc/hosts.allow и /etc/hosts.deny.
Например, ограничить доступ можно на основе трафика SSH; для этого нужно добавить такие строки в файл hosts.allow:
Предположим, что в файле hosts.deny есть строка, которая выглядит так:
Она разрешит вход в систему только тем пользователям, которые приходят с домена example.com или субдомена.
4: Опция match
Опция match определяет шаблон критериев, согласно которому будут применяться или не применяться остальные параметры.
Опция Match содержит пары «ключ-значение». Она может использовать ключи User, Group, Host, Address. Их можно отделить друг от друга пробелами. Сами шаблоны отделяются запятыми. Также тут можно использовать подстановочные символы и инвертированные параметры.
Шаблон сработает только тогда, когда пользователь – не demouser или fakeuser, входит в группу sshusers и привязан к example.com или поддомену.
Ключ Address может обрабатывать CIDR.
Параметры, которые соответствуют шаблонам Match, применяются условно. Область действия этих условных опций – до конца файла или до совпадения со следующим шаблоном. Поэтому значения по умолчанию рекомендуется помещать в начало файла, а исключения в конце.
В связи с этим опции часто указывают, что они выполняются только в случае совпадения предыдущего шаблона. Например:
Чтобы увидеть полный список параметров Match, посмотрите справочную страницу sshd_config:
Найдите раздел Match.
Заключение
Как видите, доступ пользователей к системе и качество работы демона SSH во многом зависит от его настроек. Прежде чем применить изменения настроек, нужно тщательно их протестировать и заранее исправить все ошибки.
Файл /etc/ssh/sshd_config позволяет управлять доступом к серверу. Умение настраивать SSH – очень важный навык для всех пользователей Linux.
Двухфакторная аутентификация в OpenSSH: ключ+одноразовый код
В предыдущей статье я рассказал, как добавить проверку одноразовых кодов при логине на свой сервер по SSH. Статья завершалась словами «если ходим по ключу — двухфакторная аутентификация не работает (не используется PAM)».
С недавнего времени, после выпуска OpenSSH версии 6.2, ситуация поменялась к лучшему.
+
sshd(8): Added support for multiple required authentication in SSH protocol 2 via an AuthenticationMethods option. This option lists one or more comma-separated lists of authentication method names. Successful completion of all the methods in any list is required for authentication to complete.
sshd(8): Добавлена поддержка множественных способов аутентификации в SSH протоколе 2 посредством параметра AuthenticationMethods. Этот параметр задаёт один или более списков с запятой-разделителем, перечисляющих названия методов аутентификации. Для аутентификации требуется успешное завершение всех методов в любом из списков.
Начинаем
Рассмотрю пример настройки: аутентификация по ключу и, затем, по одноразовому коду. У меня используется Debian Jessie (testing), там всё доступно «из коробки».
Ставим нужный софт
С момента написания прошлой статьи консольную тулзу положили рядом с модулем, поэтому на сервере нужен лишь один новый пакет:
На телефон с Android’ом ставим Google Autenticator и какой-либо сканер QR кодов, например такой. Если у вас на телефоне Windows Phone, то программа называется Authenticator (thnx to Skywrtr). Если у вас телефон с другой ОС, то вам сюда.
Инициализация одноразовых кодов
После запуска этой команды:
первым вопросом будет, хотим ли мы time-based токены. Ответ — «y».
В ответ получаем ASCII-art с таким симпатичным QR кодом, содержащим в себе секретный ключ (картинка кликабельная):
Также, если вы хотите добавить данные в Google Authenticator вручную — выводятся сам секретный код инициализации и код для проверки.
Также имеет смысл записать в надёжном месте 5 резервных кодов на случай, если вдруг с телефоном что-то случится. А по URL, который тулза тоже пишет, ходить не нужно — там лишь рисуется тот же самый QR код покрасивее. Вы ведь не хотите показывать свой секретный код Гуглу? 🙂
QR код сразу сканируем из приложения в телефоне, потом отвечаем на вопросы в консоли.
— Сохранить всё насовсем в
/.google_authenticator?
— y
— Запретить использование одного кода несколько раз? Помогает заметить или даже предотвратить атаку man-in-the-middle.
— y
— Увеличить окно времени с приблизительно 1.5 минут до 4 минут?
— n (и тут сразу проверяем, точно ли время в телефоне; впрочем, Google Authenticator последних версий умеет синхронизировать время из интернета)
— Ограничить число попыток логина за промежуток времени?
— y
Настройка PAM
В файле /etc/pam.d/sshd в группе «auth» должна быть лишь одна строка с вызовом модуля pam_google_authenticator.so:
Обращаю внимание на важный момент: с одной стороны, нужно закомментировать все строки и инклюды, добавляющие в группу «auth» проверку пароля, (например, «@include common-auth» выше), иначе у вас после одноразового кода спросят и пароль. С другой стороны, надо понимать, что аутентификация по паролю, которая в большинстве современных дистрибутивов также делается через PAM, будет таким образом сломана. Но это неопасно, т.к. ниже мы явно указываем серверу sshd, что проверка ключа обязательна и без правильного ключа авторизация будет неуспешна.
Пока я не придумал, как можно сделать в PAM одновременно два сценария, например «ключ + одноразовый код» и «пароль + одноразовый код».
Настройка PAM, дополнительные плюшки
Можно сделать так, чтобы одноразовый код спрашивался не для всех. Для этого есть модуль pam_access.so, который нужно вписать перед pam_google_authenticator.so:
В файл /etc/ssh/two-factor-skip.conf можно указать что-то эдакое:
Настройка sshd
В /etc/ssh/sshd_config включаем ChallengeResponse аутентификацию, PAM и указываем, что нужно проверять как ключ, так и одноразовый пароль.
Проверяем
Совместимость
Все консольные команды (ssh, scp, sftp) OpenSSH версии 5.9p1 и, очевидно, позднее — поддерживают ChallengeResponse аутентификацию. Более старые версии не проверял.
lftp версий 4.3.3 и 4.4.8 не поддерживает. Другие версии не проверял.
Irssi Conectbot на Android — поддерживает.
SecureCRT — поддерживает, но в настройках соединения необходимо установить Keyboard-interactive и Publickey.
Putty — поддерживает.
Если кто-либо сможет проверить другие программы на (не)совместимость, пишите мне в личку — я допишу сюда.
ЗАПИСКИ АДМИНИСТРАТОРА FREEBSD
Описание файла конфигурации sshd_config
Настройка сервера SSHd, производится через файл конфигурации, расположенный в директории:/etc/ssh/ и называющийся sshd_config.Содержимое по умолчанию у sshd_config следующее:
Subsystem sftp /usr/libexec/sftp-server
# ForceCommand cvs server
Краткое описание переменных конфигурации (по алфавиту):
Переменные среды, принимаемые от клиента, если были установлены, и копируемые в environ текущего сеанса. На стороне клиента данную настройку устанавливает параметр SendEnv подробное описание можно посмотреть в man ssh_config. Указывать нужно имена переменных,разрешается использовать символы подстановки «*» и «?». Если вам нужно передать больше одной переменной, указывайте их через пробел, или в нескольких директивах AcceptEnv. Данная директива введена с целью повышения безопасности, что-бы нельзя было обойти ограничения среды пользователя, путем изменения переменных среды.
По умолчанию, переменные не принимаются.
Семейство сетевых адресов, разрешенных для использования демоном sshd.
Возможные значения: «any», «inet», (только для IPv4) и «inet6» (только для IPv6).
По умолчанию «any», то есть любые.
Разрешает TCP форвардинг ( перенаправление ). Отключения данного параметра не увеличивает безопасность системы, пока пользователям разрешен удаленный доступ, при желании, они всегда могут установить свои перенаправления.
По умолчанию вход разрешен для всех пользователей.
Путь к файлу с открытыми ключами для аутентификации. В директиве можно использовать шаблоны, они преобразуются при настройке соединения: %% заменяется на символ %, %h на домашний каталог пользователя, %u, на имя пользователя. После преобразования AuthorizedKeysFile рассматривается как абсолютный путь, или как путь относительно домашнего каталога пользователя.
По умолчанию: «.ssh/authorized_keys».
Файл с сообщением, которое будет показано пользователю перед входом в систему.
Работает только с протоколом 2.
Разрешена ли беcпарольная аутентификация «запрос-ответ». Поддерживаются все механизмы аутентификации login.conf.
Разрешенные алгоритмы шифрования для протокола 2, указываются через запятую.
Возможны следующие варианты:
«3des-cbc», «aes128-cbc», «aes192-cbc»,’»aes256-cbc», «aes128-ctr»,
«aes192-ctr», «aes256-ctr», «arcfour128», «arcfour256», «arcfour»,
«blowfish-cbc» и «cast128-cbc».
aes128-cbc, 3des-cbc, blowfish-cbc, cast128-cbc, arcfour128, arcfour256, arcfour,
aes192-cbc, aes256-cbc, aes128-ctr, aes192-ctr, aes256-ctr
Количество проверок доступности клиента, которые могут оставаться без ответа. Если предел достигнут, sshd завершит сеанс. Данные запросы, отличаются от TCPKeepAlive, так как отправляются через защищённый канал и не могут быть подменены, в то время как TCPKeepAlive такую возможность допускает.
СlientAlive полезен, если поведение клиента или сервера зависит от активности соединения. Если ClientAliveInterval (см. ниже) равно 15 секундам, а значение ClientAliveCountMax оставлено По умолчанию, не отвечающие клиенты SSH, будут отключаться приблизительно через 45 секунд. Параметр работает только для протокола версии 2.
По умолчанию установлено значение 3.
Время простоя клиента в секундах, после которого демон sshd отправляет через защищённый канал запрос клиенту. Директива работает только для протокола 2.
По умолчанию стоит 0, то есть клиенту вообще не будут направляться такие запросы.
Данная директива позволяет разрешить сжатие сразу, разрешить после успешной аутентификации или отключить.
Возможные значения: «yes», «delayed» или «no».
По умолчанию «delayed».
По умолчанию: не определена.
Данная директива определяет, могут ли ли удалённые хосты подключение к портам, выделенным для туннелирования трафика клиентов. По умолчанию, сервер sshd разрешает доступ к портам,используемым для туннелирования инициируемого сервером, только для петли (loopback), т.е. удалённые машины подключаться к перенаправляемым портам не могут. Данный параметр позволяет это исправить. Значение «no» разрешает туннелирование только в рамках данной системы, «yes» разрешает туннелирование для хостов соответствующих шаблону, а «clientspecified» позволяет клиенту самостоятельно выбирать адрес для туннелирования.
Включить GSSAPI аутентификацию. Только для протокола версии 2.
Очищать ли кэш данных аутентификации клиента, при завершении сеанса связи. Только для протокола версии 2.
Использовать HostBased аутентификацию, т.е. аутентификацию по rhosts или /etc/hosts.equiv,в сочетании с открытым ключом клиента. Эта директива похожа на RhostsRSAAuthentication.
Только для протокола версии 2.
Выполнять запрос имени хоста при проверке файлов
/.rhosts и /etc/hosts.equiv, в рамках HostBased аутентификации. Если «yes», для проверки будет использоваться имя указанное клиентом, а не имя полученное средствами TCP соединения.
Файл хранения приватных ключей хоста. Имейте в виду, что файлы с приватными ключами, не должны быть доступны для чтения всей группе или другим пользователям, в таком случае sshd их не примет. Возможно указание нескольких файлов ключей. Ключи rsa1, используются протоколом версии 1, ключи dsa и rsa, для версии 2, протокола SSH.
По умолчанию /etc/ssh/ssh_host_key для протокола 1, /etc/ssh/ssh_host_rsa_key и /etc/ssh/ssh_host_dsa_key для протокола 2.
Игнорировать содержимое файла
Если AFS включена и у пользователя имеется Kerberos 5 TGT, получать талон AFS перед обращением к домашнему каталогу пользователя.
Если аутентификация по Kerberos не проходит, проверять пароль другими средствами, например /etc/passwd.
Очистка кэша «билетов» пользователя при завершении сеанса.
Для протокола версии 1, ключ сервера будет регенерироваться по истечении количества секунд, указанных данным параметром, (в случае его использования). Целью регенерации, является, защита уже установленных, шифрованных сессий от перехвата ключей. Ключ нигде не сохраняется. Значение 0, запрещает регенерацию.
По умолчанию 3600 секунд.
Локальный адрес ( или адреса ), на которых сервер sshd будет принимать соединения.
Формат записей может быть следующим:
ListenAddress имя хоста или адрес-IPv4 / IPv6
ListenAddress имя хоста или адрес-IPv4 : порт
ListenAddress имя хоста или адрес-IPv6 : порт
Без указания порта, сервер sshd, будет ожидать соединений на данном адресе и на портах, указанных ранее в директиве Port, если директива Port не была назначена, соединения принимаются на 22 порту. По умолчанию сервер sshd, ожидает соединений на всех локальных адресах. Допускается многократное использование директивы, для указания более чем одного адреса.
Время ожидания регистрации пользователю в системе. Если пользователь, не успел войти в систему в течении отведенного данной директивой времени, сеанс обрывается. Если установлено 0, время на вход не ограничено.
По умолчанию 120 секунд.
Устанавливает так называемый, уровень логгирования событий. сервера sshd.
Допустимые значения: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2, DEBUG3.
Значения DEBUG и DEBUG1 являются эквивалентами. Значения DEBUG*, использовать не рекомендуется, так нарушается конфиденциальность пользователей.
Разрешенные MAC (Message Authentication Code ), алгоритмы. Используются протоколом версии 2 для гарантирования целостности передаваемых данных. Алгоритмы указываются через запятую.
По умолчанию: «hmac-md5,hmac-sha1,hmac-ripemd160,hmac-sha1-96,hmac-md5-96».
Директива условие, образует блок. Если условия в самой директиве удовлетворены, входящие в блок директивы имеют приоритет над указанными в глобальном разделе файла конфигурации. Окончанием блока может быть, либо следующая директива Match, либо конец файла. Аргументами директивы Match, являются пары, критерий-шаблон, возможные критерии: User, Group, Host, и Address.
Количество попыток входа в систему в рамках сеанса связи. Неудачные попытки входа регистрируются в системном журнале регистрации событий. При достижении максимально разрешенного числа попыток, сеанс обрывается.
Число одновременных соединений, в которых еще не пройдена аутентификация. При достижении данного значения, последующие соединения будут сбрасываться, пока не будет пройдена аутентификация, на уже установленных соединениях или пока не истечет время, установленное директивой LoginGraceTime. В качестве альтернативы может быть использован механизм раннего, случайного отказа в подключении, путем установки разделённых двоеточием значений «старт:норма:предел» (например, «10:30:60»). Соединение будет сбрасываться с вероятностью «норма/100» (30%) если имеется «старт» (10) соединений с не пройденной аутентификацией. Вероятность возрастает линейно, и всем соединениям будет отказано, если количество не прошедших аутентификацию соединений достигнет числа «предел» (60).
Разрешить аутентификацию по паролю.
Разрешить использование пустых паролей при аутентификации по паролю.
Директива ограничивает возможные конечные точки для TCP туннелей. Формат записи следующий:
PermitOpen хост : порт
PermitOpen адрес-IPv4 : порт
PermitOpen [ адрес-IPv6 ] : порт
Разрешено указывать нескольких конечных точек, разделяя их пробелом.
Значение «any» снимает ограничение и установлено. По умолчанию.
Разрешить пользователю root вход через протокол SSH. Возможные значения: «yes», «without-password», «forced-commands-only», «no». Если директива установлена в «without-password» вход для пользователя root по паролю, будет запрещен. Значение «forced-commands-only» разрешает регистрацию пользователя root по открытому ключу, но только если установлен параметр command ( может пригодиться для удалённого создания резервных копий, даже если вход пользователя root по протоколу SSH, в обычном режиме запрещен ). Остальные способы аутентификации для пользователя root будут запрещены.
Значение по умолчанию «no», удаленный вход в систему пользователем root, полностью запрещён.
Разрешать ли использовать форвардинг для устройств tun. Возможные значения: «yes»,»point-to-point» (уровень 3), «ethernet» (уровень 2), «no». Значение «yes», одновременно эквивалентно значениям, «point-to-point» и «ethernet».
Директива определяет, принимать ли во внимание содержимое
/.ssh/environment и параметры environment= в файле
/.ssh/authorized_keys. Изменяя переменные окружения, пользователь может обойти ограничения своих полномочий, например, с помощью механизма LD_PRELOAD.
PID-файл в который записывается идентификатор процесса, сервера sshd.
По умолчанию /var/run/sshd.pid.
Порт, на котором сервер sshd, принимает и обслуживает соединения. Директиву можно указывать несколько раз для разных портов. Кроме того, если есть возможность, в целях безопасности, рекомендуется сразу изменить значение По умолчанию. В некоторой степени, это оградит систему от постоянных попыток перебора пароля, на стандартном порту.
Показывать ли ли время и дату последнего входа в систему, при интерактивной регистрации пользователя в ней.
Показывать ли содержимое файла /etc/motd при интерактивном входе пользователя ( в некоторых системах это выполняется сценарием /etc/profile или аналогом ).
Какую версию протокола использовать. Возможные значения 1 и 2. можно указать через запятую. В данный момент протокол версии 1, использовать не рекомендуется из соображений безопасности.
Разрешить аутентификацию по открытому ключу. Только для протокола версии 2.
Разрешить аутентификацию только по ключу RSA. Только для протокола версии 1.
Длина ключа сервера для протокола версии 1. Минимальное значение — 512,
Директива определяет, проверять ли права доступа и владельца конфигурационных файлов и домашнего каталога, перед разрешение входа пользователя в систему. Рекомендуется выполнять данную проверку, новички частенько оставляют свои каталоги или файлы доступными на запись другим пользователям.
Включает внешнюю подсистему (например FTP). В качестве параметров понимает, имя подсистемы и команду, которая будет выполнена при запросе подсистемы. Команда sftp-server, реализует протокол передачи файлов через SSH, «sftp».
Только для протокола версии 2.
По умолчанию: не установлена.
Код сообщений для протокола syslog.
Возможные значения: DAEMON, USER, AUTH, LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7.
Поддерживать ли соединение в активном состоянии, для этого используются специальные контрольные сообщения, посылаемые с определенным интервалом времени. Если директива установлена, обрыв соединения будет вовремя замечен, а соответствующий процесс будет убит. Возможные значения «yes», «no».
Использовать DNS запросы, для определения имени удалённого хоста, с целью проверки, что обратное преобразование возвращает правильный IP-адрес.
Использовать login для интерактивного входа в систему. Имейте в виду, login, не используется для удалённого выполнения команд. Если директива включена, функция X11Forwarding будет отключена, поскольку login, не умеет обрабатывать cookie xauth. Если используется разделение полномочий, UsePrivilegeSeparation, директива будет отключена, после прохождения аутентификации.
Включить дополнительные, подключаемые модули аутентификации ( Pluggable Authentication Module ). Возможные значения «yes», «no». Если данная директива включена, PAM аутентификация, будет доступна через ChallengeResponseAuthentication и PasswordAuthentication, в дополнение к учётной записи PAM и обработке модулей для всех видов аутентификации. Так как беспарольная аутентификация PAM «вызов-ответ», является заменой аутентификации по паролю, нужно отключить, либо PasswordAuthentication, либо ChallengeResponseAuthentication. Если директива UsePAM включена, сервер sshd, можно выполнять только с правами пользователя root.
Разделять полномочия путем создания дочернего процесса с меньшими привилегиями, для обработки входящего трафика. После успешной аутентификации пользователя, будет запущен отдельный процесс, с правами данного пользователя. Данная директива используется в целях повышения безопасности, что-бы предотвратить повышение своих полномочий, недобросовестному пользователю.
Номер первого дисплея доступного для туннелирования трафика X11, сервером sshd. Позволяет избежать вмешательства сервера sshd в работу настоящих серверов X11.
Разрешить туннелирование X11. Возможные значения «yes», «no». Если дисплей-посредник ожидает соединений на любых адресах ( подстановка «*»), включение туннелирования X11,подвергает сервер и виртуальные дисплеи пользователей, дополнительной опасности. По этой причине, такое поведение не является поведением По умолчанию. Проверка и подмена данных аутентификации при атаке выполняются на стороне клиента. При туннелировании X11 графический сервер клиента, может подвергаться атаке, при запросе клиентом SSH туннелирования. Для большей безопасности администратор может запретить туннелирование, установив значение «no». Имейте в виду, даже если туннелирование X11 запрещено данной директивой, пользователи по-прежнему смогут туннелировать трафик X11, настроек туннели общего назначения. Туннелирование X11 отключается автоматически при включении параметра UseLogin.
Директива определяет, на какой адрес, sshd повесит сервер для форвардинга X11, на так называемую петлю ( 127.0.0.1 ) или на подстановку «*» ( любой ). По умолчанию sshd привязывает сервер туннелирования к петле, а в качестве хоста, в переменную среды DISPLAY заносит «localhost».
Это не позволяет удалённым хостам подключаться к дисплею-посреднику. Однако, в случае старых клиентов X11, такая конфигурация может не сработать, в этом случае можно установить значение «no». Возможные значения: «yes», «no».