ssh key authority

Veuillez consulter la section Avis de sécurité ci-dessous pour un problème de sécurité récemment abordé

Un outil pour gérer l'accès SSH utilisateur et serveur à n'importe quel nombre de serveurs.

• Gérez facilement l'accès des clés SSH pour tous les comptes de vos serveurs.
• Gérez l'accès des utilisateurs et les règles d'accès au serveur à serveur.
• Intégrez à votre service d'annuaire LDAP pour l'autorisation des utilisateurs.
• Supprimer automatiquement l'accès au serveur des personnes lorsqu'ils quittent votre équipe.
• Fournit une interface facile à vos utilisateurs pour télécharger leurs clés publiques.
• Désignez les administrateurs de serveur et laissez-les gérer l'accès à leur propre serveur.
• Créez des règles d'accès basées sur un groupe pour une gestion plus facile.
• Spécifiez les options d'accès SSH telles que command= , nopty , etc. sur vos règles d'accès.
• Toutes les modifications d'accès sont enregistrées à la base de données et aux journaux système. L'octroi d'accès est également signalé par e-mail.
• Être informé lorsqu'un serveur devient orphelin (n'a pas d'administrateurs actifs).

Vous pouvez afficher l'autorité clé SSH en action sur le serveur de démonstration.

Utilisez l'un des ensembles suivants des informations d'identification de nom d'utilisateur / mot de passe pour vous connecter:

• TestUser / TesUser - Utilisateur normal avec accès administratif accordé à quelques serveurs
• TestAdmin / TestAdmin - Utilisateur d'administration

Toutes les données sur ce serveur de démonstration sont réinitialisées tous les soirs à 00:00 UTC.

• Un service d'annuaire LDAP
• Apache 2.2 ou plus
• PHP 5,6 ou plus
• Extension PHP JSON
• Extension PHP LDAP
• Extension PHP MBSTRING (chaîne multi -yte)
• Extension PHP MySQL
• Extension PHP SSH2
• MySQL (5.5+), Percona Server (5.5+) ou MariADB Base de données

1. Clone le dépôt quelque part en dehors de votre racine de document Apache par défaut.

2. Ajoutez les directives suivantes à votre configuration Apache (par exemple, la configuration de l'hôte virtuel):

    DocumentRoot /path/to/ska/public_html
   DirectoryIndex init.php
   FallbackResource /init.php
   

3. Créez un utilisateur et une base de données MySQL (exécuter dans Shell MySQL):

    CREATE USER 'ska-user'@'localhost' IDENTIFIED BY 'password';
   CREATE DATABASE `ska-db` DEFAULT CHARACTER SET utf8mb4;
   GRANT ALL ON `ska-db`.* to 'ska-user'@'localhost';
   

4. Copiez le fichier config/config-sample.ini sur config/config.ini et modifiez les paramètres selon les besoins.

5. Configurez AuthnZ_LDAP pour votre hôte virtuel (ou tout autre module d'authentification qui transmet une variable Auth-User à l'application).

6. Définissez scripts/ldap_update.php pour fonctionner sur un travail Cron ordinaire.

7. Générez une paire de clés SSH pour se synchroniser. SSH Key Authority s'attendra à trouver les fichiers sous forme config/keys-sync et config/keys-sync.pub pour les clés privées et publiques respectivement. La clé doit être au format pem . La commande suivante générera la clé dans le format requis:

    ssh-keygen -t rsa -b 4096 -m PEM -C 'comment' -f config/keys-sync
   

8. Installez le démon de synchronisation de la clé SSH. Pour systemd:

   1. Copier services/systemd/keys-sync.service vers /etc/systemd/system/
   2. Modifiez le chemin d'accès ExecStart et User si nécessaire. Si l'autorité clé SSH est installée sous /home , désactivez ProtectHome .
   3. systemctl daemon-reload
   4. systemctl enable keys-sync.service

   Pour SYSV-INT:

   1. Copier services/init.d/keys-sync à /etc/init.d/
   2. Modifiez le chemin SCRIPT et USER si nécessaire.
   3. update-rc.d keys-sync defaults

Toute personne dans le groupe LDAP défini sous admin_group_cn dans config/config.ini pourra gérer les comptes et les serveurs.

SSH Key Authority distribue des clés autorisées à vos serveurs via SSH. Il fait cela par:

1. Connexion au serveur avec SSH, autorisant en tant qu'utilisateur keys-sync .
2. Rédaction des clés autorisées appropriées aux fichiers utilisateur dans /var/local/keys-sync/ (par exemple, toutes les clés autorisées pour l'utilisateur racine seront écrites sur /var/local/keys-sync/root ).

Cela signifie que votre installation SSH devra être reconfigurée pour lire les clés autorisées à partir de /var/local/keys-sync/ .

Veuillez noter que cela refusera l'accès à toute clé publique SSH existante autorisée dans les répertoires par défaut ~/.ssh .

Sous OpenSSH, les modifications de configuration nécessaires sont:

 AuthorizedKeysFile /var/local/keys-sync/%u
StrictModes no

StrictModes doit être désactivé car les fichiers appartiendront tous à l'utilisateur de Keys-Sync.

Le fichier /var/local/keys-sync/keys-sync doit exister, avec le même contenu que le fichier config/keys-sync.pub afin que le démon de synchronisation s'authentifie.

• Ska Security Advisory: SSH Port Redirection Attack

Copyright 2013-2017 Opera Software

Licencié sous la licence Apache, version 2.0 (la "licence"); Vous ne pouvez pas utiliser ce fichier sauf conforme à la licence. Vous pouvez obtenir une copie de la licence à

http://www.apache.org/licenses/license-2.0

Sauf exiger la loi applicable ou convenu par écrit, les logiciels distribués en vertu de la licence sont distribués sur une base «tel quel», sans garantie ou conditions d'aucune sorte, expresse ou implicite. Voir la licence pour la langue spécifique régissant les autorisations et les limitations sous la licence.