ssh key authority

최근에 해결 된 보안 문제는 아래 보안 자문 섹션을 참조하십시오.

여러 서버에 대한 사용자 및 서버 SSH를 관리하는 도구.

• 서버의 모든 계정에 대한 SSH 키 액세스를 쉽게 관리합니다.
• 사용자 액세스 및 서버 간 액세스 규칙을 관리합니다.
• 사용자 인증을 위해 LDAP 디렉토리 서비스와 통합하십시오.
• 팀을 떠날 때 사람들로부터 서버 액세스를 자동으로 제거하십시오.
• 사용자가 공개 키를 업로드 할 수있는 쉬운 인터페이스를 제공합니다.
• 서버 관리자를 지정하고 자체 서버에 대한 액세스를 관리하도록하십시오.
• 더 쉬운 관리를위한 그룹 기반 액세스 규칙을 만듭니다.
• 액세스 규칙에서 command= , nopty 등과 같은 SSH 액세스 옵션을 지정하십시오.
• 모든 액세스 변경 사항은 데이터베이스 및 시스템 로그에 로그온합니다. 액세스 부여도 이메일로보고됩니다.
• 서버가 고아가되면 (활성 관리자가 없음) 알림을받습니다.

시연 서버에서 SSH 키 당국을 볼 수 있습니다.

다음의 사용자 이름 / 비밀번호 자격 증명 세트 중 하나를 사용하여 로그인하십시오.

• Testuser / Testuser- 몇몇 서버에 관리자 액세스 권한이있는 일반 사용자
• TestAdmin / TestAdmin- 관리자 사용자

이 데모 서버의 모든 데이터는 00:00 UTC에 밤에 재설정됩니다.

• LDAP 디렉토리 서비스
• 아파치 2.2 이상
• PHP 5.6 이상
• PHP JSON 확장
• PHP LDAP 확장
• PHP MBString (Multibyte String) 확장
• PHP MySQL 확장
• PHP SSH2 확장
• MySQL (5.5+), Percona Server (5.5+) 또는 MARIADB 데이터베이스

1. 기본 아파치 문서 루트 외부의 어딘가에 레포를 복제하십시오.

2. Apache 구성 (예 : 가상 호스트 구성)에 다음 지침을 추가하십시오.

    DocumentRoot /path/to/ska/public_html
   DirectoryIndex init.php
   FallbackResource /init.php
   

3. MySQL 사용자 및 데이터베이스 생성 (MySQL 쉘에서 실행) :

    CREATE USER 'ska-user'@'localhost' IDENTIFIED BY 'password';
   CREATE DATABASE `ska-db` DEFAULT CHARACTER SET utf8mb4;
   GRANT ALL ON `ska-db`.* to 'ska-user'@'localhost';
   

4. file config/config-sample.ini config/config.ini 에 복사하고 필요에 따라 설정을 편집하십시오.

5. 가상 호스트 (또는 인증 사용자 변수를 애플리케이션에 전달하는 기타 인증 모듈)에 대해 Authnz_ldap을 설정하십시오.

6. scripts/ldap_update.php 정기적 인 Cron 작업에서 실행하도록 설정하십시오.

7. 동기화 할 SSH 키 쌍을 생성하십시오. SSH 키 당국은 파일을 각각 개인 및 공개 키에 대한 config/keys-sync 및 config/keys-sync.pub 로 찾을 것으로 예상합니다. 키는 pem 형식이어야합니다. 다음 명령은 필요한 형식으로 키를 생성합니다.

    ssh-keygen -t rsa -b 4096 -m PEM -C 'comment' -f config/keys-sync
   

8. SSH 키 동기화 데몬을 설치하십시오. systemd :

   1. 복사 services/systemd/keys-sync.service to /etc/systemd/system/
   2. 필요에 따라 ExecStart 경로와 User 수정하십시오. SSH 키 당국이 /home 에 설치된 경우 ProtectHome 비활성화하십시오.
   3. systemctl daemon-reload
   4. systemctl enable keys-sync.service

   sysv-init의 경우 :

   1. 복사 services/init.d/keys-sync to /etc/init.d/
   2. 필요에 따라 SCRIPT 경로와 USER 수정하십시오.
   3. update-rc.d keys-sync defaults

config/config.ini 에서 admin_group_cn 에 정의 된 LDAP 그룹의 모든 사람은 계정 및 서버를 관리 할 수 ​​있습니다.

SSH 키 당국은 SSH를 통해 승인 된 키를 서버에 배포합니다. 다음과 같이합니다.

1. SSH로 서버에 연결하여 keys-sync 사용자로 승인합니다.
2. /var/local/keys-sync/ (예 : 루트 사용자에 대한 모든 승인 된 키는 /var/local/keys-sync/root )에 이름이 지정된 사용자 파일에 적절한 승인 키를 작성합니다.

즉 /var/local/keys-sync/ 에서 승인 된 키를 읽으려면 SSH 설치를 재구성해야합니다.

그렇게하면 기본값 ~/.ssh 디렉토리에 승인 된 기존 SSH 공개 키에 대한 액세스가 거부됩니다.

OpenSsh에서 필요한 구성 변경은 다음과 같습니다.

 AuthorizedKeysFile /var/local/keys-sync/%u
StrictModes no

파일은 모두 Keys-Sync 사용자가 소유하므로 StrictModes는 비활성화되어야합니다.

동기화 데몬이 인증하기 위해 config/keys-sync.pub 파일과 동일한 내용을 보유한 파일 /var/local/keys-sync/keys-sync 있어야합니다.

• SKA 보안 자문 : SSH 포트 리디렉션 공격

저작권 2013-2017 오페라 소프트웨어

Apache 라이센스, 버전 2.0 ( "라이센스")에 따라 라이센스가 부여되었습니다. 라이센스를 준수하는 것 외에는이 파일을 사용할 수 없습니다. 라이센스 사본을 얻을 수 있습니다

http://www.apache.org/licenses/license-2.0

해당 법률에 의해 요구되거나 서면에 동의하지 않는 한, 라이센스에 따라 배포 된 소프트웨어는 명시 적 또는 묵시적 보증 또는 조건없이 "그대로"기준으로 배포됩니다. 라이센스에 따른 특정 언어 통치 권한 및 제한 사항에 대한 라이센스를 참조하십시오.