Los atacantes suelen utilizar credenciales perdidas, robadas, débiles o predeterminadas para escalar sus privilegios después de haberse infiltrado en su red. Si bien la autenticación de dos factores puede reducir en gran medida la infiltración, existen otros medios para obtener acceso, como el malware. Este tutorial muestra cómo agregar un radio a sudo para Centos 7 y Ubuntu 14.04 para la autenticación de dos factores con el servidor WiKID Strong Authentication. Usar pam-radius es bueno porque le permite insertar un servidor de radio, como Freeradius o NPS en Windows, para que pueda realizar la autorización en su directorio y luego la autenticación en un servidor de autenticación de dos factores separado. Administrar sus usuarios en un directorio central es una muy buena práctica de seguridad. Tenga en cuenta que dado que usamos RADIUS, esta configuración básica funciona para todos los sistemas 2FA de clase empresarial.
Configure sudo en Centos/RHEL para autenticación de dos factores
Comenzaremos en RHEL/Centos 7. Instale los requisitos previos:
sudo yum -y install make gcc pam pam-devel
Obtenga el código PAM RADIUS más reciente (1.4 a partir de este escrito):
wget ftp://ftp.freeradius.org/pub/radius/pam_radius-x.x.x.tar.gz
Construye la biblioteca:
tar -xzvf pam-radius-x.x.x.tar.gz
cd pam-radius-x.x.x
sudo ./configure
sudo make
Copie la biblioteca en la ubicación adecuada:
cp pam_radius_auth.so /lib/security/
O para 64 bits:
cp pam_radius_auth.so /lib64/security/
Cree el directorio de configuración y copie el archivo de configuración con el nombre 'servidor':
sudo mkdir /etc/raddb
cp pam_radius_auth.conf /etc/raddb/server
Edite /etc/raddb/server y agregue la IP de su servidor RADIUS y el secreto compartido a este archivo.
# server[:port] shared_secret timeout (s)
127.0.0.1 secret 1
radius_server_IP secret 3
#
# having localhost in your radius configuration is a Good Thing.
(Tenga en cuenta que si bien queremos que el radio esté en el bucle eventualmente, también puede usar su servidor WiKID como el servidor de radio, agregar este cuadro de Centos como un cliente de red en WiKID, reiniciar WiKID y listo o al menos puede probar de esta manera. Siempre es una buena idea hacer algunas pruebas pequeñas en el camino, solo asegúrese de eliminarlas).
A continuación, debemos decirle a sudo que use el radio. Edite el archivo /etc/pam.d/sudo y reemplace "auth include system-auth" con:
auth required pam_radius_auth.so
Eso es todo para la caja Centos/RHEL 7. La misma configuración también funciona para 5 y 6.
Configure sudo en Ubuntu para autenticación de dos factores
El siguiente es el servidor Ubuntu 14.04. Primero, instala pam-radius:
sudo apt-get install libpam-radius-auth
Configúrelo también con el servidor NPS editando /etc/pam_radius_auth.conf. Para que sea lo mismo que arriba:
# server[:port] shared_secret timeout (s)
127.0.0.1 secret 1
radius_server_IP secret 3
#
# having localhost in your radius configuration is a Good Thing.
Edite su archivo /etc/pam.d/sudo y agregue la línea ' auth enough pam_radius_auth.so' arriba de la línea comm-auth:
auth required pam_env.so readenv=1 user_readenv=0
auth required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
auth sufficient pam_radius_auth.so
@include common-auth
@include common-account
@include common-session-noninteractive
Eso es para el servidor Ubuntu.
Ahora, cada vez que un administrador intente usar sudo, debe ingresar su código de acceso único. PAM reenviará el nombre de usuario y la OTP a su servidor RADIUS o su servidor WiKID para su validación.
El uso de la autenticación de dos factores para cuentas administrativas es una herramienta poderosa para proteger su red. Incluso puede convertirse en parte de los requisitos de PCI DSS.