ssh key authority

Silakan lihat bagian Penasihat Keamanan di bawah ini untuk masalah keamanan yang baru -baru ini ditangani

Alat untuk mengelola akses SSH pengguna dan server ke sejumlah server.

• Mengelola akses kunci SSH dengan mudah untuk semua akun di server Anda.
• Kelola akses pengguna dan aturan akses server-ke-server.
• Integrasi dengan layanan direktori LDAP Anda untuk otorisasi pengguna.
• Secara otomatis menghapus akses server dari orang -orang ketika mereka meninggalkan tim Anda.
• Memberikan antarmuka yang mudah bagi pengguna Anda untuk mengunggah kunci publik mereka.
• Tentukan administrator server dan biarkan mereka mengelola akses ke server mereka sendiri.
• Buat aturan akses berbasis grup untuk manajemen yang lebih mudah.
• Tentukan opsi akses SSH seperti command= , nopty dll pada aturan akses Anda.
• Semua perubahan akses dicatat ke database dan ke log sistem. Pemberian akses juga dilaporkan melalui email.
• Diperhatikan ketika server menjadi yatim piatu (tidak memiliki administrator aktif).

Anda dapat melihat otoritas kunci SSH beraksi di server demonstrasi.

Gunakan salah satu set kredensial nama pengguna / kata sandi berikut untuk masuk:

• TestUser / TestUser - Pengguna normal dengan akses admin diberikan kepada beberapa server
• testadmin / testadmin - pengguna admin

Semua data di server demonstrasi ini diatur ulang setiap malam di 00:00 UTC.

• Layanan Direktori LDAP
• Apache 2.2 atau lebih tinggi
• PHP 5.6 atau lebih tinggi
• PHP JSON Extension
• PHP LDAP Extension
• PHP MBSTRING (Multibyte String) Ekstensi
• PHP MySQL Extension
• Ekstensi PHP SSH2
• MySQL (5.5+), Percona Server (5.5+) atau basis data MariaDB

1. Kloning repo di suatu tempat di luar root dokumen Apache default Anda.

2. Tambahkan arahan berikut ke konfigurasi Apache Anda (mis. Virtual Host Config):

    DocumentRoot /path/to/ska/public_html
   DirectoryIndex init.php
   FallbackResource /init.php
   

3. Buat pengguna dan database MySQL (jalankan di MySQL Shell):

    CREATE USER 'ska-user'@'localhost' IDENTIFIED BY 'password';
   CREATE DATABASE `ska-db` DEFAULT CHARACTER SET utf8mb4;
   GRANT ALL ON `ska-db`.* to 'ska-user'@'localhost';
   

4. Salin file config/config-sample.ini ke config/config.ini dan edit pengaturan sesuai kebutuhan.

5. Siapkan authnz_ldap untuk host virtual Anda (atau modul otentikasi lainnya yang akan meneruskan variabel auth-user ke aplikasi).

6. Atur scripts/ldap_update.php untuk dijalankan pada pekerjaan cron biasa.

7. Hasilkan pasangan kunci SSH untuk disinkronkan. SSH Key Authority akan mengharapkan untuk menemukan file sebagai config/keys-sync dan config/keys-sync.pub untuk masing-masing kunci pribadi dan publik. Kuncinya harus dalam format pem . Perintah berikut akan menghasilkan kunci dalam format yang diperlukan:

    ssh-keygen -t rsa -b 4096 -m PEM -C 'comment' -f config/keys-sync
   

8. Instal Daemon Sinkronisasi Kunci SSH. Untuk Systemd:

   1. Salin services/systemd/keys-sync.service to /etc/systemd/system/
   2. Ubah jalur ExecStart dan User seperlunya. Jika SSH Key Authority dipasang di bawah /home , nonaktifkan ProtectHome .
   3. systemctl daemon-reload
   4. systemctl enable keys-sync.service

   untuk sysv-init:

   1. Salin services/init.d/keys-sync ke /etc/init.d/
   2. Ubah jalur SCRIPT dan USER seperlunya.
   3. update-rc.d keys-sync defaults

Siapa pun di grup LDAP yang ditentukan di bawah admin_group_cn di config/config.ini akan dapat mengelola akun dan server.

SSH Key Authority mendistribusikan kunci resmi ke server Anda melalui SSH. Itu melakukan ini dengan:

1. Menghubungkan ke server dengan SSH, mengesahkan sebagai pengguna keys-sync .
2. Menulis kunci resmi yang sesuai untuk file pengguna yang disebutkan di /var/local/keys-sync/ (mis. Semua tombol resmi untuk pengguna root akan ditulis ke /var/local/keys-sync/root ).

Ini berarti bahwa instalasi SSH Anda perlu dikonfigurasi ulang untuk membaca kunci resmi dari /var/local/keys-sync/ .

Harap dicatat bahwa melakukan hal itu akan menolak akses ke kunci publik SSH yang ada diizinkan di direktori ~/.ssh default.

Di bawah OpenSsh, perubahan konfigurasi yang diperlukan adalah:

 AuthorizedKeysFile /var/local/keys-sync/%u
StrictModes no

StrictModes harus dinonaktifkan karena semua file akan dimiliki oleh pengguna Keys-Sync.

File /var/local/keys-sync/keys-sync harus ada, dengan konten yang sama dengan file config/keys-sync.pub agar daemon sinkronisasi untuk mengotentikasi.

• SKA Security Advisory: SSH Port Redirection Attack

Hak Cipta 2013-2017 Perangkat Lunak Opera

Berlisensi di bawah lisensi Apache, versi 2.0 ("lisensi"); Anda tidak boleh menggunakan file ini kecuali sesuai dengan lisensi. Anda dapat memperoleh salinan lisensi di

http://www.apache.org/licenses/license-2.0

Kecuali diharuskan oleh hukum yang berlaku atau disepakati secara tertulis, perangkat lunak yang didistribusikan di bawah lisensi didistribusikan berdasarkan "sebagaimana adanya", tanpa jaminan atau ketentuan dalam bentuk apa pun, baik tersurat maupun tersirat. Lihat lisensi untuk bahasa spesifik yang mengatur izin dan batasan di bawah lisensi.