ssh key authority

Consulte la sección de avisos de seguridad a continuación para obtener un problema de seguridad recientemente dirigido

Una herramienta para administrar el acceso SSH de usuario y servidor a cualquier número de servidores.

• Administre fácilmente el acceso a la clave SSH para todas las cuentas de sus servidores.
• Administrar reglas de acceso de usuario y acceso de servidor a servidor.
• Integre con su servicio de directorio LDAP para la autorización del usuario.
• Eliminar automáticamente el acceso del servidor de las personas cuando dejan a su equipo.
• Proporciona una interfaz fácil para que sus usuarios carguen sus claves públicas.
• Designe administradores del servidor y permítales administrar el acceso a su propio servidor.
• Cree reglas de acceso basadas en grupos para una gestión más fácil.
• Especifique opciones de acceso SSH como command= , nopty , etc. en sus reglas de acceso.
• Todos los cambios de acceso se registran en la base de datos y a los registros del sistema. La concesión de acceso también se informa por correo electrónico.
• Ser notificado cuando un servidor se vuelve huérfano (no tiene administradores activos).

Puede ver la autoridad clave SSH en acción en el servidor de demostración.

Use uno de los siguientes conjuntos de credenciales de nombre de usuario / contraseña para iniciar sesión:

• testuser / testuser: usuario normal con acceso administrador otorgado a algunos servidores
• testAdmin / testAdmin - Usuario administrativo

Todos los datos en este servidor de demostración se restablecen todas las noches a las 00:00 UTC.

• Un servicio de directorio LDAP
• Apache 2.2 o superior
• PHP 5.6 o superior
• PHP JSON Extensión
• Extensión PHP LDAP
• PHP MBSSTRING (cadena multibyte) Extensión
• PHP Extensión MySQL
• PHP SSH2 Extensión
• MySQL (5.5+), servidor Percona (5.5+) o base de datos MariadB

1. Clonar el repositorio en algún lugar fuera de la raíz de documento APACHE predeterminada.

2. Agregue las siguientes directivas a su configuración de Apache (por ejemplo, la configuración del host virtual):

    DocumentRoot /path/to/ska/public_html
   DirectoryIndex init.php
   FallbackResource /init.php
   

3. Cree un usuario y una base de datos MySQL (ejecute en MySQL Shell):

    CREATE USER 'ska-user'@'localhost' IDENTIFIED BY 'password';
   CREATE DATABASE `ska-db` DEFAULT CHARACTER SET utf8mb4;
   GRANT ALL ON `ska-db`.* to 'ska-user'@'localhost';
   

4. Copie el archivo config/config-sample.ini a config/config.ini y edite la configuración según sea necesario.

5. Configure AuthNZ_LDAP para su host virtual (o cualquier otro módulo de autenticación que transmitiera una variable de usuario de autenticación a la aplicación).

6. Establezca scripts/ldap_update.php para ejecutar en un trabajo de cron regular.

7. Genere un par de claves SSH para sincronizar con. SSH Key Authority esperará encontrar los archivos como config/keys-sync y config/keys-sync.pub para las claves privadas y públicas respectivamente. La clave debe estar en formato pem . El siguiente comando generará la clave en el formato requerido:

    ssh-keygen -t rsa -b 4096 -m PEM -C 'comment' -f config/keys-sync
   

8. Instale el demonio de sincronización de la tecla SSH. Para Systemd:

   1. Copiar services/systemd/keys-sync.service a /etc/systemd/system/
   2. Modifique la ruta ExecStart y User según sea necesario. Si la autoridad clave SSH se instala bajo /home , deshabilite ProtectHome .
   3. systemctl daemon-reload
   4. systemctl enable keys-sync.service

   Para SYSV-INIT:

   1. Copiar services/init.d/keys-sync a /etc/init.d/
   2. Modifique la ruta SCRIPT y USER según sea necesario.
   3. update-rc.d keys-sync defaults

Cualquier persona en el grupo LDAP definido en admin_group_cn en config/config.ini podrá administrar cuentas y servidores.

SSH Key Authority distribuye claves autorizadas a sus servidores a través de SSH. Hace esto por:

1. Conectarse al servidor con SSH, autorizándose como el usuario keys-sync .
2. Escribir las claves autorizadas apropiadas para los archivos de usuario nombrados en /var/local/keys-sync/ (por ejemplo, todas las claves autorizadas para el usuario raíz se escribirán en /var/local/keys-sync/root ).

Esto significa que su instalación de SSH deberá reconfigurarse para leer claves autorizadas de /var/local/keys-sync/ .

Tenga en cuenta que hacerlo negará el acceso a cualquier clave pública SSH existente autorizada en los directorios predeterminados ~/.ssh .

En OpenSSH, los cambios de configuración necesarios son:

 AuthorizedKeysFile /var/local/keys-sync/%u
StrictModes no

StrictModes debe deshabilitarse porque todos los archivos serán propiedad del usuario de Keys-Sync.

El archivo /var/local/keys-sync/keys-sync debe existir, con el mismo contenido que el archivo config/keys-sync.pub para que el demonio de sincronización se autentique.

• Aviso de seguridad de SKA: ataque de redirección de puertos SSH

Copyright 2013-2017 Software de ópera

Licenciado bajo la licencia Apache, versión 2.0 (la "licencia"); No puede usar este archivo, excepto de conformidad con la licencia. Puede obtener una copia de la licencia en

http://www.apache.org/licenses/license-2.0

A menos que la ley aplicable sea requerida o acordado por escrito, el software distribuido bajo la licencia se distribuye de manera "como es", sin garantías o condiciones de ningún tipo, ya sea expresas o implícitas. Consulte la licencia para los permisos y limitaciones de rigor de idioma específico bajo la licencia.