หน้าแรก>แหล่งข้อมูลการสร้างเว็บไซต์>ข้อมูลเว็บไซต์
ดาวน์โหลด

SKA - หน่วยงานสำคัญ SSH

โปรดดูส่วนที่ปรึกษาด้านความปลอดภัยด้านล่างสำหรับปัญหาความปลอดภัยที่ได้รับการแก้ไขเมื่อเร็ว ๆ นี้

เครื่องมือสำหรับการจัดการผู้ใช้และเซิร์ฟเวอร์ SSH เข้าถึงเซิร์ฟเวอร์จำนวนใดก็ได้

คุณสมบัติ

  • จัดการการเข้าถึงคีย์ SSH ได้อย่างง่ายดายสำหรับบัญชีทั้งหมดบนเซิร์ฟเวอร์ของคุณ
  • จัดการการเข้าถึงผู้ใช้และกฎการเข้าถึงเซิร์ฟเวอร์ไปยังเซิร์ฟเวอร์
  • รวมเข้ากับบริการไดเรกทอรี LDAP ของคุณสำหรับการอนุญาตผู้ใช้
  • ลบการเข้าถึงเซิร์ฟเวอร์ออกจากผู้คนโดยอัตโนมัติเมื่อพวกเขาออกจากทีมของคุณ
  • ให้อินเทอร์เฟซง่าย ๆ สำหรับผู้ใช้ของคุณในการอัปโหลดกุญแจสาธารณะ
  • กำหนดผู้ดูแลระบบเซิร์ฟเวอร์และให้พวกเขาจัดการการเข้าถึงเซิร์ฟเวอร์ของตนเอง
  • สร้างกฎการเข้าถึงตามกลุ่มเพื่อการจัดการที่ง่ายขึ้น
  • ระบุตัวเลือกการเข้าถึง SSH เช่น command= , nopty ฯลฯ บนกฎการเข้าถึงของคุณ
  • การเปลี่ยนแปลงการเข้าถึงทั้งหมดจะถูกบันทึกไปยังฐานข้อมูลและบันทึกระบบ การให้สิทธิ์การเข้าถึงนั้นถูกรายงานทางอีเมล
  • จะได้รับการแจ้งเตือนเมื่อเซิร์ฟเวอร์กลายเป็นเด็กกำพร้า (ไม่มีผู้ดูแลระบบที่ใช้งานอยู่)

การสาธิต

คุณสามารถดูอำนาจคีย์ SSH ในการดำเนินการบนเซิร์ฟเวอร์สาธิต

ใช้หนึ่งในชุดข้อมูลชื่อผู้ใช้ / รหัสผ่านต่อไปนี้เพื่อเข้าสู่ระบบ:

  • TESTUSER / TESTUSER - ผู้ใช้ปกติที่มีการเข้าถึงผู้ดูแลระบบที่มอบให้กับเซิร์ฟเวอร์ไม่กี่ตัว
  • testadmin / testadmin - ผู้ดูแลระบบ

ข้อมูลทั้งหมดเกี่ยวกับเซิร์ฟเวอร์สาธิตนี้จะรีเซ็ตทุกคืนที่ 00:00 UTC

ความต้องการ

  • บริการไดเรกทอรี LDAP
  • Apache 2.2 หรือสูงกว่า
  • PHP 5.6 หรือสูงกว่า
  • ส่วนขยาย PHP JSON
  • ส่วนขยาย PHP LDAP
  • ส่วนขยาย php mbstring (multibyte string)
  • ส่วนขยาย PHP MySQL
  • ส่วนขยาย PHP SSH2
  • MySQL (5.5+), เซิร์ฟเวอร์ Percona (5.5+) หรือฐานข้อมูล Mariadb

การติดตั้ง

  1. โคลน repo ที่ไหนสักแห่งนอกรูทเอกสารเริ่มต้นของคุณ

  2. เพิ่มคำสั่งต่อไปนี้ในการกำหนดค่า Apache ของคุณ (เช่นการกำหนดค่าโฮสต์เสมือนจริง): 

     DocumentRoot /path/to/ska/public_html
DirectoryIndex init.php
FallbackResource /init.php

  3. สร้างผู้ใช้ MySQL และฐานข้อมูล (เรียกใช้ในเชลล์ MySQL): 

     CREATE USER 'ska-user'@'localhost' IDENTIFIED BY 'password';
CREATE DATABASE `ska-db` DEFAULT CHARACTER SET utf8mb4;
GRANT ALL ON `ska-db`.* to 'ska-user'@'localhost';

  4. คัดลอกไฟล์ config/config-sample.ini เพื่อ config/config.ini และแก้ไขการตั้งค่าตามที่ต้องการ

  5. ตั้งค่า AuthNZ_LDAP สำหรับโฮสต์เสมือนของคุณ (หรือโมดูลการรับรองความถูกต้องอื่น ๆ ที่จะส่งผ่านตัวแปรผู้ใช้ Auth-user ไปยังแอปพลิเคชัน)

  6. ตั้งค่า scripts/ldap_update.php เพื่อทำงานในงาน cron ปกติ

  7. สร้างคู่คีย์ SSH เพื่อซิงโครไนซ์ด้วย SSH Key Authority จะคาดหวังว่าจะพบไฟล์เป็น config/keys-sync และ config/keys-sync.pub สำหรับคีย์ส่วนตัวและสาธารณะตามลำดับ คีย์ต้องอยู่ในรูปแบบ pem คำสั่งต่อไปนี้จะสร้างคีย์ในรูปแบบที่ต้องการ: 

     ssh-keygen -t rsa -b 4096 -m PEM -C 'comment' -f config/keys-sync

  8. ติดตั้ง daemon การซิงโครไนซ์คีย์ SSH สำหรับ systemd:

    1. คัดลอก services/systemd/keys-sync.service to /etc/systemd/system/
    2. แก้ไขเส้นทาง ExecStart และ User ตามความจำเป็น หากมีการติดตั้ง SSH Key Authority ภายใต้ /home ให้ปิด ProtectHome
    3. systemctl daemon-reload
    4. systemctl enable keys-sync.service

    สำหรับ sysv-init:

    1. คัดลอก services/init.d/keys-sync ถึง /etc/init.d/
    2. แก้ไขพา ธ SCRIPT และ USER ตามความจำเป็น
    3. update-rc.d keys-sync defaults

การใช้งาน

ทุกคนในกลุ่ม LDAP ที่กำหนดภายใต้ admin_group_cn ใน config/config.ini จะสามารถจัดการบัญชีและเซิร์ฟเวอร์ได้

การกระจายคีย์

SSH Key Authority แจกจ่ายกุญแจที่ได้รับอนุญาตให้กับเซิร์ฟเวอร์ของคุณผ่าน SSH ทำได้โดย:

  1. การเชื่อมต่อกับเซิร์ฟเวอร์ด้วย SSH อนุญาตให้เป็นผู้ใช้ keys-sync
  2. การเขียนคีย์ที่ได้รับอนุญาตที่เหมาะสมไปยังไฟล์ผู้ใช้ที่มีชื่อใน /var/local/keys-sync/ (เช่นคีย์ที่ได้รับอนุญาตทั้งหมดสำหรับผู้ใช้รูทจะถูกเขียนถึง /var/local/keys-sync/root )

ซึ่งหมายความว่าการติดตั้ง SSH ของคุณจะต้องได้รับการกำหนดค่าใหม่เพื่ออ่านคีย์ที่ได้รับอนุญาตจาก /var/local/keys-sync/

โปรดทราบว่าการทำเช่นนั้นจะปฏิเสธการเข้าถึงคีย์สาธารณะ SSH ที่มีอยู่ใด ๆ ที่ได้รับอนุญาตในไดเรกทอรี ~/.ssh เริ่มต้น

ภายใต้ OpenSsh การเปลี่ยนแปลงการกำหนดค่าที่จำเป็นคือ: 

 AuthorizedKeysFile /var/local/keys-sync/%u
StrictModes no

โหมดที่เข้มงวดจะต้องปิดใช้งานเนื่องจากไฟล์ทั้งหมดจะเป็นของผู้ใช้ Keys-Sync

ต้องมีไฟล์ /var/local/keys-sync/keys-sync พร้อมเนื้อหาเดียวกับไฟล์ config/keys-sync.pub เพื่อให้ daemon ซิงโครไนซ์เพื่อตรวจสอบสิทธิ์

ภาพหน้าจอ

ภาพรวมโฮมเพจ

ภาพรวมโฮมเพจ

รายชื่อเซิร์ฟเวอร์

รายชื่อเซิร์ฟเวอร์

การจัดการการเข้าถึงบัญชีเซิร์ฟเวอร์

การจัดการการเข้าถึงบัญชีเซิร์ฟเวอร์

บันทึกกิจกรรม

บันทึกกิจกรรม

คู่มือเริ่มต้นใช้งานสำหรับผู้ใช้ใหม่

คู่มือเริ่มต้นใช้งานสำหรับผู้ใช้ใหม่

คำแนะนำด้านความปลอดภัย

  • SKA Security Advisory: SSH Port Randection Attack

ใบอนุญาต

ซอฟต์แวร์ Copyright 2013-2017 Opera

ได้รับใบอนุญาตภายใต้ใบอนุญาต Apache เวอร์ชัน 2.0 ("ใบอนุญาต"); คุณไม่สามารถใช้ไฟล์นี้ยกเว้นตามใบอนุญาต คุณอาจได้รับสำเนาใบอนุญาตที่

http://www.apache.org/licenses/license-2.0

เว้นแต่ว่ากฎหมายที่บังคับใช้หรือตกลงเป็นลายลักษณ์อักษรซอฟต์แวร์ที่แจกจ่ายภายใต้ใบอนุญาตจะถูกแจกจ่ายตาม "ตามพื้นฐาน" โดยไม่มีการรับประกันหรือเงื่อนไขใด ๆ ไม่ว่าจะโดยชัดแจ้งหรือโดยนัย ดูใบอนุญาตสำหรับภาษาเฉพาะที่ควบคุมการอนุญาตและข้อ จำกัด ภายใต้ใบอนุญาต

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด