ssh key authority

最近宛てられたセキュリティの問題については、以下のセキュリティアドバイスセクションをご覧ください

ユーザーとサーバーのSSHアクセスを任意の数のサーバーに管理するためのツール。

• サーバー上のすべてのアカウントのSSHキーアクセスを簡単に管理できます。
• ユーザーアクセスとサーバーからサーバーへのアクセスルールを管理します。
• ユーザー認証のためにLDAPディレクトリサービスと統合します。
• チームを離れるときに、サーバーアクセスを自動的に削除します。
• ユーザーがパブリックキーをアップロードできる簡単なインターフェイスを提供します。
• サーバー管理者を指定し、自分のサーバーへのアクセスを管理できるようにします。
• より簡単な管理のためのグループベースのアクセスルールを作成します。
• アクセスルールでcommand= 、 noptyなどのSSHアクセスオプションを指定します。
• すべてのアクセスの変更は、データベースとシステムログにログに記録されます。アクセスの許可もメールで報告されます。
• サーバーが孤児になったときに通知されます（アクティブな管理者がいません）。

デモンストレーションサーバーでSSHの主要な権限をアクションすることを表示できます。

次のユーザー名 /パスワード資格情報のいずれかを使用して、ログインします。

• Testuser / Testuser-いくつかのサーバーに許可された管理者アクセスを備えた通常のユーザー
• testadmin / testadmin-管理者ユーザー

このデモサーバー上のすべてのデータは、00:00 UTCに毎晩リセットされます。

• LDAPディレクトリサービス
• Apache 2.2以上
• PHP 5.6以降
• PHP JSON拡張機能
• PHP LDAP拡張機能
• PHP MbString（マルチバイト文字列）拡張
• PHP MySQL拡張機能
• PHP SSH2拡張
• MySQL（5.5+）、Perconaサーバー（5.5+）またはMariadBデータベース

1. デフォルトのApacheドキュメントルートの外側のどこかにリポジトリをクローンします。

2. Apache構成に次のディレクティブを追加します（例：仮想ホスト設定）：

    DocumentRoot /path/to/ska/public_html
   DirectoryIndex init.php
   FallbackResource /init.php
   

3. MySQLユーザーとデータベースを作成します（MySQLシェルで実行）：

    CREATE USER 'ska-user'@'localhost' IDENTIFIED BY 'password';
   CREATE DATABASE `ska-db` DEFAULT CHARACTER SET utf8mb4;
   GRANT ALL ON `ska-db`.* to 'ska-user'@'localhost';
   

4. ファイルconfig/config-sample.iniをconfig/config.iniにコピーして、必要に応じて設定を編集します。

5. 仮想ホスト（またはアプリケーションにAuth-ユーザー変数を渡す他の認証モジュール）のauthnz_ldapをセットアップします。

6. scripts/ldap_update.phpを設定して、通常のCronジョブで実行します。

7. 同期するSSHキーペアを生成します。 SSH Key Authorityは、ファイルをそれぞれプライベートキーおよびパブリックキーのconfig/keys-syncおよびconfig/keys-sync.pubとして見つけることを期待します。キーはpem形式でなければなりません。次のコマンドは、必要な形式でキーを生成します。

    ssh-keygen -t rsa -b 4096 -m PEM -C 'comment' -f config/keys-sync
   

8. SSHキー同期デーモンをインストールします。 SystemDの場合：

   1. services/systemd/keys-sync.service to /etc/systemd/system/
   2. 必要に応じて、 ExecStartパスとUserを変更します。 SSH Key Authorityが/homeの下に設置されている場合は、 ProtectHome無効にします。
   3. systemctl daemon-reload
   4. systemctl enable keys-sync.service

   sysv-initの場合：

   1. services/init.d/keys-sync to /etc/init.d/
   2. 必要に応じてSCRIPTパスとUSERを変更します。
   3. update-rc.d keys-sync defaults

config/config.iniのadmin_group_cnで定義されているLDAPグループの誰でも、アカウントとサーバーを管理できます。

SSH Key Authorityは、SSHを介して承認されたキーをサーバーに配布します。これを行います：

1. SSHを使用してサーバーに接続し、 keys-syncユーザーとして承認します。
2. /var/local/keys-sync/に適切な承認されたキーを書き込む（例：ルートユーザーのすべての承認されたキーは、 /var/local/keys-sync/rootに書き込まれます）。

これは/var/local/keys-sync/から承認されたキーを読み取るために、SSHのインストールを再構成する必要があることを意味します。

そうすることで、デフォルトの~/.sshディレクトリで承認された既存のSSH公開キーへのアクセスが拒否されることに注意してください。

OpenSSHの下で、必要な構成の変更は次のとおりです。

 AuthorizedKeysFile /var/local/keys-sync/%u
StrictModes no

ファイルはすべてKeys-Syncユーザーが所有するため、StrictModesを無効にする必要があります。

同期デーモンを認証するために、 config/keys-sync.pubファイルと同じコンテンツを持つファイル/var/local/keys-sync/keys-sync存在する必要があります。

• SKAセキュリティアドバイザリー：SSHポートリダイレクト攻撃

著作権2013-2017オペラソフトウェア

Apacheライセンス、バージョン2.0（「ライセンス」）に基づいてライセンスされています。ライセンスに準拠している場合を除き、このファイルを使用することはできません。ライセンスのコピーを取得できます

http://www.apache.org/licenses/license-2.0

適用法で要求されていないか、書面で合意されていない限り、ライセンスに基づいて配布されたソフトウェアは、明示または黙示のいずれかの保証または条件なしに、「現状のまま」に基づいて配布されます。ライセンスに基づく権限と制限を管理する特定の言語のライセンスを参照してください。