ssh key authority

Consulte a seção de consultoria de segurança abaixo para obter um problema de segurança recentemente abordado

Uma ferramenta para gerenciar o acesso ao usuário e servidor SSH a qualquer número de servidores.

• Gerencie facilmente o acesso à chave SSH para todas as contas em seus servidores.
• Gerencie as regras de acesso ao usuário e acesso ao servidor a servidor.
• Integrar -se ao seu serviço de diretório LDAP para autorização do usuário.
• Remova automaticamente o acesso ao servidor das pessoas quando elas deixarem sua equipe.
• Fornece uma interface fácil para seus usuários carregarem suas chaves públicas.
• Designe administradores de servidores e deixe -os gerenciar o acesso ao seu próprio servidor.
• Crie regras de acesso baseadas em grupo para facilitar o gerenciamento.
• Especifique opções de acesso SSH, como command= , nopty etc, em suas regras de acesso.
• Todas as alterações de acesso são registradas no banco de dados e nos logs do sistema. A concessão de acesso também é relatada por email.
• Ser notificado quando um servidor ficar órfão (não possui administradores ativos).

Você pode visualizar a autoridade chave do SSH em ação no servidor de demonstração.

Use um dos seguintes conjuntos de credenciais de nome de usuário / senha para fazer login:

• testuser / testUser - usuário normal com acesso administrador concedido a alguns servidores
• TestAdMin / testAdmin - Usuário de Admin

Todos os dados deste servidor de demonstração são redefinidos todas as noites às 00:00 UTC.

• Um serviço de diretório LDAP
• Apache 2.2 ou superior
• Php 5.6 ou superior
• Extensão do PHP JSON
• Extensão PHP LDAP
• Extensão de php mbstring (string multibyte)
• Extensão PHP MySQL
• Extensão PHP SSH2
• MySQL (5.5+), servidor Percona (5,5+) ou banco de dados MARIADB

1. Clone o repositório em algum lugar fora da sua raiz do documento Apache padrão.

2. Adicione as seguintes diretivas à sua configuração do Apache (por exemplo, configuração do host virtual):

    DocumentRoot /path/to/ska/public_html
   DirectoryIndex init.php
   FallbackResource /init.php
   

3. Crie um usuário e banco de dados MySQL (execute no shell MySQL):

    CREATE USER 'ska-user'@'localhost' IDENTIFIED BY 'password';
   CREATE DATABASE `ska-db` DEFAULT CHARACTER SET utf8mb4;
   GRANT ALL ON `ska-db`.* to 'ska-user'@'localhost';
   

4. Copie o arquivo config/config-sample.ini para config/config.ini e edite as configurações conforme necessário.

5. Configure authnz_ldap para seu host virtual (ou qualquer outro módulo de autenticação que passará uma variável de autenticação para o aplicativo).

6. Defina scripts/ldap_update.php para executar em um trabalho cron regular.

7. Gere um par de teclas SSH para sincronizar. A SSH Key Authority esperará encontrar os arquivos como config/keys-sync e config/keys-sync.pub para as chaves privadas e públicas, respectivamente. A chave deve estar no formato pem . O comando a seguir gerará a chave no formato necessário:

    ssh-keygen -t rsa -b 4096 -m PEM -C 'comment' -f config/keys-sync
   

8. Instale o daemon de sincronização de chave SSH. Para Systemd:

   1. Copy services/systemd/keys-sync.service para /etc/systemd/system/
   2. Modifique o caminho e User ExecStart conforme necessário. Se a Autoridade Chave SSH estiver instalada em /home , desative ProtectHome .
   3. systemctl daemon-reload
   4. systemctl enable keys-sync.service

   para sysv-init:

   1. Copy services/init.d/keys-sync para /etc/init.d/
   2. Modifique o caminho SCRIPT e USER conforme necessário.
   3. update-rc.d keys-sync defaults

Qualquer pessoa no grupo LDAP definido em admin_group_cn em config/config.ini poderá gerenciar contas e servidores.

A SSH Key Authority distribui chaves autorizadas para seus servidores via SSH. Faz isso por:

1. Conectando-se ao servidor com o SSH, autorizando como o usuário keys-sync .
2. Escrever as chaves autorizadas apropriadas para os arquivos de usuário nomeados em /var/local/keys-sync/ /var/local/keys-sync/root keys-sync/(por exemplo

Isso significa que sua instalação SSH precisará ser reconfigurada para ler as teclas autorizadas de /var/local/keys-sync/ .

Observe que isso negará o acesso a qualquer chave pública SSH existente autorizada nos diretórios ~/.ssh padrão.

Sob o OpenSSH, as alterações de configuração necessárias são:

 AuthorizedKeysFile /var/local/keys-sync/%u
StrictModes no

Os Strictmodes devem ser desativados porque todos os arquivos pertencem ao usuário do Keys-Sync.

O arquivo /var/local/keys-sync/keys-sync deve existir, com o mesmo conteúdo que o arquivo config/keys-sync.pub para que o daemon de sincronização se autentique.

• SKA Security Advisory: ataque de redirecionamento por porta SSH

Copyright 2013-2017 Software de ópera

Licenciado sob a licença Apache, versão 2.0 (a "licença"); Você não pode usar esse arquivo, exceto em conformidade com a licença. Você pode obter uma cópia da licença em

http://www.apache.org/license/license-2.0

A menos que exigido pela lei aplicável ou acordada por escrito, o software distribuído pela licença é distribuído "como está", sem garantias ou condições de qualquer tipo, expressa ou implícita. Consulte a licença para o idioma específico que rege as permissões e limitações sob a licença.