ssh key authority

يرجى الاطلاع على قسم الاستشارات الأمنية أدناه لقضية أمنية تم تناولها مؤخرًا

أداة لإدارة وصول المستخدم والخادم SSH إلى أي عدد من الخوادم.

• إدارة مفتاح SSH بسهولة لجميع الحسابات على خوادمك.
• إدارة وصول المستخدم وقواعد الوصول إلى الخادم إلى الخادم.
• تتكامل مع خدمة دليل LDAP الخاصة بك لترخيص المستخدم.
• قم بإزالة وصول الخادم تلقائيًا من الأشخاص عندما يغادرون فريقك.
• يوفر واجهة سهلة للمستخدمين لتحميل مفاتيحهم العامة.
• قم بتعيين مسؤولي الخادم ودعهم يديرون الوصول إلى الخادم الخاص بهم.
• إنشاء قواعد الوصول المستندة إلى المجموعة لتسهيل الإدارة.
• حدد خيارات الوصول إلى SSH مثل command= ، nopty etc على قواعد الوصول الخاصة بك.
• يتم تسجيل جميع تغييرات الوصول إلى قاعدة البيانات وإلى سجلات النظام. تم الإبلاغ عن منح الوصول أيضًا عن طريق البريد الإلكتروني.
• يتم إخطاره عندما يصبح الخادم يتيمة (ليس لديه مسؤولون نشطون).

يمكنك عرض سلطة مفتاح SSH في العمل على خادم العرض التوضيحي.

استخدم إحدى المجموعات التالية من بيانات اعتماد اسم المستخدم / كلمة المرور لتسجيل الدخول:

• testuser / testuser - مستخدم عادي مع وصول المسؤول ممنوحة لبعض الخوادم
• TESTADMIN / TESTADMIN - مستخدم المسؤول

تتم إعادة تعيين جميع البيانات الموجودة على خادم العرض التوضيحي الليلي على 00:00 UTC.

• خدمة دليل LDAP
• Apache 2.2 أو أعلى
• PHP 5.6 أو أعلى
• تمديد PHP JSON
• تمديد PHP LDAP
• تمديد PHP MBSTRING (سلسلة متعددة)
• تمديد PHP MySQL
• تمديد PHP SSH2
• MySQL (5.5+) أو Percona Server (5.5+) أو قاعدة بيانات MariaDB

1. استنساخ الريبو في مكان ما خارج جذر مستند Apache الخاص بك.

2. أضف التوجيهات التالية إلى تكوين Apache الخاص بك (على سبيل المثال ، تكوين المضيف الظاهري):

    DocumentRoot /path/to/ska/public_html
   DirectoryIndex init.php
   FallbackResource /init.php
   

3. قم بإنشاء مستخدم وقاعدة بيانات MySQL (قم بتشغيل في MySQL Shell):

    CREATE USER 'ska-user'@'localhost' IDENTIFIED BY 'password';
   CREATE DATABASE `ska-db` DEFAULT CHARACTER SET utf8mb4;
   GRANT ALL ON `ska-db`.* to 'ska-user'@'localhost';
   

4. انسخ ملف config/config-sample.ini إلى config/config.ini وتحرير الإعدادات كما هو مطلوب.

5. قم بإعداد Authnz_ldap لمضيفك الظاهري (أو أي وحدة مصادقة أخرى ستنقل متغير مستخدم المصادقة إلى التطبيق).

6. قم بتعيين scripts/ldap_update.php لتشغيلها على وظيفة CRON العادية.

7. إنشاء زوج مفتاح SSH لمزامنة مع. تتوقع سلطة SSH Key العثور على الملفات باسم config/keys-sync و config/keys-sync.pub للمفاتيح الخاصة والعامة على التوالي. يجب أن يكون المفتاح بتنسيق pem . سيقوم الأمر التالي بإنشاء المفتاح بالتنسيق المطلوب:

    ssh-keygen -t rsa -b 4096 -m PEM -C 'comment' -f config/keys-sync
   

8. قم بتثبيت "SSH Key Synchronization Daemon". للنظام:

   1. نسخ services/systemd/keys-sync.service إلى /etc/systemd/system/
   2. تعديل مسار ExecStart User حسب الضرورة. إذا تم تثبيت سلطة SSH الرئيسية تحت /home ، فتعطق ProtectHome .
   3. systemctl daemon-reload
   4. systemctl enable keys-sync.service

   ل sysv init:

   1. نسخ services/init.d/keys-sync to /etc/init.d/
   2. تعديل مسار SCRIPT USER حسب الضرورة.
   3. update-rc.d keys-sync defaults

أي شخص في مجموعة LDAP المحددة تحت admin_group_cn في config/config.ini سيتمكن من إدارة الحسابات والخوادم.

توزع سلطة SSH الرئيسية المفاتيح المعتمدة لخوادمك عبر SSH. يفعل هذا عن طريق:

1. الاتصال بالخادم مع SSH ، مع التصريح كمستخدم keys-sync .
2. كتابة المفاتيح المسموح بها لملفات المستخدم المسمى في /var/local/keys-sync/root /var/local/keys-sync/ (على سبيل المثال

هذا يعني أن تثبيت SSH الخاص بك سيحتاج إلى إعادة تشكيله لقراءة المفاتيح المعتمدة من /var/local/keys-sync/ .

يرجى ملاحظة أن القيام بذلك سيؤدي إلى رفض الوصول إلى أي مفتاح SSH العام الحالي المصرح به في الدلائل الافتراضية ~/.ssh .

تحت Openssh ، فإن تغييرات التكوين المطلوبة هي:

 AuthorizedKeysFile /var/local/keys-sync/%u
StrictModes no

يجب تعطيلات الصارمة لأن جميع الملفات ستكون مملوكة من قبل مستخدم Keys-Sync.

يجب أن يوجد ملف /var/local/keys-sync/keys-sync ، مع نفس محتويات ملف config/keys-sync.pub sync.

• Ska Security Convisory: SSH Port Redirection Attack

حقوق الطبع والنشر 2013-2017 برنامج الأوبرا

مرخصة بموجب ترخيص Apache ، الإصدار 2.0 ("الترخيص") ؛ لا يجوز لك استخدام هذا الملف إلا في الامتثال للترخيص. يمكنك الحصول على نسخة من الترخيص على

http://www.apache.org/licenses/license-2.0

ما لم يكن مطلوبًا بموجب القانون المعمول به أو الموافقة على الكتابة ، يتم توزيع البرامج الموزعة بموجب الترخيص على أساس "كما هي" ، دون ضمانات أو شروط من أي نوع ، إما صريحة أو ضمنية. راجع ترخيص الأذونات والقيود التي تحكم اللغة المحددة بموجب الترخيص.