From:http://www.it165.net/os/html/201405/8407.html
出于安全考虑,大多数公司的办公环境和业务环境在网络层面基本上是隔离开的,在办公环境是无法直接连到业务生产环境的,只有做过特定白名单同性的情况下才会允许这么做。这样做了,开发人员需要访问生产环境服务器排查问题或者运维人员通过办公网络对生产环境进行维护就不太方便,但是网络一旦开通又会出现安全风险。
在这种情况下,就需要一种可以控制网络入口,能够统一授权,认证的系统,这样运维跳板机,也就是比较严格意义上的AAAA认证系统就出现了。
所谓的4A认证系统其实是指:
统一用户账号(Account)
统一认证(Authentication)
统一授权(Authorization)
统一安全审计(Audit)
我们公司使用的是openldap(管理用户信息,同时实现资源访问控制),Kerberos(网络鉴权),google authenticator(二次认证的动态口令),bash (修改源码,实现账户远程登录操作
日志记录)
系统环境: 64位 CentOS linux 6.3
openldap+bdb+phpldapadmin
openldap:
master端:yum 安装
openldap
openldap-clients
openldap-servers
nss_ldap
客户端:yum方式
openldap
nss_ldap
slapd.conf配置文件修改:
01.databasebdb
02.suffix"dc=dianping,dc=com"
03.rootdn"cn=ldapadmin,dc=dianping,dc=com"
04.#Cleartextpasswords,especiallyfortherootdn,should
05.#beavoid.Seeslappasswd(8)andslapd.conf(5)fordetails.
06.#Useofstrongauthenticationencouraged.
07.rootpw!@qwaszx
08.#ThedatabasedirectoryMUSTexistpriortorunningslapdAND
09.#shouldonlybeaccessiblebytheslapdandslaptools.
10.#Mode700recommended.
11.directory/usr/local/openldap/var/openldap-data
12.#Indicestomaintain
13.indexobjectClasseq
14.#indexuidNumbereq
15.
16.
17.cachesize50000
18.checkpoint10245
19.idletimeout20
20.syncreplrid=005
21.provider=
22.binddn="cn=ldapadmin,dc=dianping,dc=com"
23.bindmethod=simple
24.credentials=hehehehhe,qunying.liu
25.searchbase="dc=dianping,dc=com"
26.type=refreshAndPersist
27.interval=00:00:00:10
28.retry="553005"
29.timeout=1
30.mirrormodetrue
31.overlaysyncprov
32.syncprov-checkpoint10010
33.syncprov-sessionlog100
34.sizelimit700
35.timelimit20
36.databasemonitor
系统加入ldap认证:
1.vi/etc/nsswitch.conf
2.passwd:filesldap
3.shadow:filesldap
4.group:filesldap
打开ldap服务日志:
syslog中加入ldap日志文件
1.vi/etc/syslog.conf
2.#saveOpenLDAPlog
3.local4.*/var/log/ldap.log
客户端修改 /etc/ldap.conf
1.hostserver1
2.#Thedistinguishednameofthesearchbase.
3.baseou=ldap,ou=auth,dc=dianping,dc=com
Openldapadmin配置
1.Tarzxvfopenldapadmin-1.2.3.tar.gz
2.Cdopenldapadmin-1.2.3
3.mvphpldapadmin-1.2.3/var/www/localhost/htdocs/phpldapadmin–r
4.cd/var/www/localhost/htdocs/phpldapadmin
5.cpconfig/config.php.exampleconfig/config.php
6.修改config.php文件
登录phpldapadmin,设置的登录密码(hehehehhe,qunying.liu)登录
Kerberos:
Kerberos认证协议
Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。
使用Kerberos时,一个客户端需要经过三个步骤来获取服务:
认证:客户端向认证服务器发送一条报文,并获取一个含时间戳的Ticket-Granting Ticket(TGT)。
授权:客户端使用TGT向Ticket-Granting Server(TGS)请求一个服务Ticket。
服务请求:客户端向服务器出示服务Ticket,以证实自己的合法性。该服务器提供客户端所需服务,在Hadoop应用中,服务器可以是namenode或jobtracker。
为此,Kerberos需要The Key Distribution Centers(KDC)来进行认证。KDC只有一个Master,可以带多个slaves机器。slaves机器仅进行普通验证。Mater上做的修改需要自动同步到slaves。
另外,KDC需要一个admin,来进行日常的管理操作。这个admin可以通过远程或者本地方式登录。
搭建Kerberos
1.安装:通过yum安装即可,组成KDC。
1.yuminstall-ykrb5-serverkrb5-libkrb5-workstation
2.配置:Kerberos的配置文件只有两个。在server1中创建以下两个文件,并同步/etc/krb5.conf到所有机器。
/var/kerberos/krb5kdc/kdc.conf:包括KDC的配置信息。默认放在 /usr/local/var/krb5kdc。或者通过覆盖KRB5_KDC_PROFILE环境变量修改配置文件位置。
01.配置示例:
02.[kdcdefaults]
03.kdc_ports=88
04.kdc_tcp_ports=88
05.[realms]
06.Qunying.liu={
07.master_key_type=aes128-cts
08.acl_file=/var/kerberos/krb5kdc/kadm5.acl
09.dict_file=/usr/share/dict/words
10.admin_keytab=/var/kerberos/krb5kdc/kadm5.keytab
11.max_renewable_life=7d
12.supported_enctypes=aes128-cts:normaldes3-hmac-sha1:normalarcfour-hmac:normaldes-hmac-sha1:normaldes-cbc-md5:normaldes-cbc-crc:normal
13.}
14.说明:
15.QUNYING.LIU:是设定的realms。名字随意。Kerberos可以支持多个realms,会增加复杂度。大小写敏感,一般为了识别使用全部大写。这个realms跟机器的host没有大关系。
16.max_renewable_life=7d涉及到是否能进行ticket的renwe必须配置。
17.master_key_type:和supported_enctypes默认使用aes256-cts。由于,JAVA使用aes256-cts验证方式需要安装额外的jar包。推荐不使用。
18.acl_file:标注了admin的用户权限,需要用户自己创建。文件格式是
19.Kerberos_principalpermissions[target_principal][restrictions]
20.支持通配符等。最简单的写法是
21.*/admin@QUNYING.LIU*
22.代表名称匹配*/admin@QUNYING.LIU都认为是admin,权限是*。代表全部权限。
23.admin_keytab:KDC进行校验的keytab。后文会提及如何创建。
24.supported_enctypes:支持的校验方式。注意把aes256-cts去掉。
/etc/krb5.conf:包含Kerberos的配置信息。例如,KDC的位置,Kerberos的admin的realms 等。需要所有使用的Kerberos的机器上的配置文件都同步。这里仅列举需要的基本配置。详细介绍参考:krb5conf:http://web.mit.edu/~kerberos/krb5-devel/doc/admin/conf_files/krb5_conf.html
01.配置示例:
02.[logging]
03.default=FILE:/var/log/krb5libs.log
04.kdc=FILE:/var/log/krb5kdc.log
05.admin_server=FILE:/var/log/kadmind.log
06.[libdefaults]
07.default_realm=QUNYING.LIU
08.dns_lookup_realm=false
09.dns_lookup_kdc=false
10.ticket_lifetime=24h
11.renew_lifetime=7d
12.max_life=12h0m0s
13.forwardable=true
14.udp_preference_limit=1
15.[realms]
16.QUNYING.LIU={
17.kdc=server1:88
18.admin_server=server1:749
19.default_domain=DIANPING.COM
20.}
21.[appdefaults]
22.说明:
23.[logging]:表示server端的日志的打印位置
24.[libdefaults]:每种连接的默认配置,需要注意以下几个关键的小配置
25.default_realm=QUNYING.LIU默认的realm,必须跟要配置的realm的名称一致。
26.udp_preference_limit=1禁止使用udp可以防止一个Hadoop中的错误
27.[realms]:列举使用的realm。
28.kdc:代表要kdc的位置。格式是机器:端口
29.admin_server:代表admin的位置。格式是机器:端口
30.default_domain:代表默认的域名
31.[appdefaults]:可以设定一些针对特定应用的配置,覆盖默认配置。
32.初始化并启动:完成上面两个配置文件后,就可以进行初始化并启动了。
A.初始化数据库:在server1上运行命令。其中-r指定对应realm。
1.kdb5_utilcreate-rQUNYING>LIU-s
2.如果遇到数据库已经存在的提示,可以把/var/kerberos/krb5kdc/目录下的principal的相关文件都删除掉。默认的数据库名字都是principal。可以使用-d指定数据库名字。(尚未测试多数据库的情况)。
B.启动kerberos。如果想开机自启动,需要stash文件。
1./usr/local/sbin/krb5kdc
2./usr/local/sbin/kadmind
至此kerberos,搭建完毕。
测试kerberos,搭建完毕后,进行以下步骤测试Kerberos是否可用。
A. 进入kadmin在kadmin上添加一个超级管理员账户,需要输入passwd
1.kadmin.local
2.addprincadmin/admin
B. 在其它机器尝试通过kadmin连接,需要输入密码
1.kinitadmin/admin
2.kadmin
如果能成功进入,则搭建成功。
kerberos日常操作
管理员操作
登录到管理员账户: 如果在本机上,可以通过kadmin.local直接登录。其它机器的,先使用kinit进行验证。
1.kadmin.local
2.kinitadmin/admin
3.kadmin
增删改查账户:在管理员的状态下使用addprinc,delprinc,modprinc,listprincs命令。使用?可以列出所有的命令。
1.kamdin:addprinc-randkeyhdfs/hadoop1
2.kamdin:delprinchdfs/hadoop1
3.kamdin:listprincs命令
4.生成keytab:使用xst命令或者ktadd命令
5.kadmin:xst-k/xxx/xxx/kerberos.keytabhdfs/server1
6.用户操作
查看当前的认证用户:klist
1.认证用户:kinit-kt/xx/xx/kerberos.keytabhdfs/server1
2.删除当前的认证的缓存:kdestroy
google authenticator:
基于TOTP(Time-based One-time Password,基于时间的一次性密码)
TOTP(基于时间的一次性密码算法)是支持时间作为动态因素基于HMAC一次性密码算法的扩展。
http://tools.ietf.org/html/rfc6238
条件:
1)Prover与Verifier之间必须时钟同步;
2)Prover与Verifier之间必须共享密钥;
3)Prover与Verifier之间必须使用相同的时间步长
算法:
K 共享密钥
T 时间
T0 开始计数的时间步长
X 时间步长
TOTP = Truncate(HMAC-SHA-1(K, (T - T0) / X))
使用Google Authenticator的步骤:
1. 服务器端对每个用户生成一个唯一的密钥SecretKey。
2. 用户在手机上安装Google Authenticator。首次使用需要将密钥输入到Google Authenticator。可通过手动和扫描系统生成的二维码等两种方式输入密钥信息。
3. Google Authenticator每隔一段时间为系统自动生成一个新的密码。用户在输入口令前需先输入生成的动态验证码。
客户端实现
python实现:
01.#!/usr/bin/envpython
02.#-*-coding:utf-8-*-
03.importhmac,base64,struct,hashlib,time,sys,os
04.
05.defget_hotp_token(secret,intervals_no):
06.key=base64.b32decode(secret)
07.msg=struct.pack(">Q",intervals_no)
08.h=hmac.new(key,msg,hashlib.sha1).digest()
09.o=ord(h[19])&15
10.h=(struct.unpack(">I",h[o:o+4])[0]&0x7fffffff)%1000000
11.returnh
12.
13.defget_totp_token(secret):
14.returnget_hotp_token(secret,intervals_no=int(time.time())//30)
15.
16.#Sec=str(sys.argv[1])
17.Sec='xxxxxxx'
18.validation_code=str(get_totp_token(Sec))
19.printvalidation_code
ruby实现:
01.#!/usr/bin/ruby
02.
03.require'rubygems'
04.require'base32'
05.require'openssl'
06.
07.int=30
08.
09.now=Time.now.to_i/int
10.key=Base32.decode'xxxxxxxx'
11.sha=OpenSSL::Digest::Digest.new('sha1')
12.
13.(-1..1).eachdo|x|
14.bytes=[now+x].pack('>q').reverse
15.hmac=OpenSSL::HMAC.digest(sha,key.to_s,bytes)
16.offset=hmac[-1]&0x0F
17.hash=hmac[offset...offset+4]
18.
19.code=hash.reverse.unpack('L')[0]
20.code&=0x7FFFFFFF
21.code%=1000000
22.
23.putscode
24.end
跳板机登录增加谷歌二次认证
Google Authenticator模块安装:
EPEL源安装: yum install libpam-google-authenticator
2.源码安装:
01.yuminstallmakegccpam-devel
02.#cd/tmp
03.#
04.#bunzip2libpam-google-authenticator-1.0-source.tar.bz2
05.#tarxflibpam-google-authenticator-1.0-source.tar
06.#cdlibpam-google-authenticator-1.0
07.#make
08.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-ogoogle-authenticator.ogoogle-authenticator.c
09.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-obase32.obase32.c
10.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-ohmac.ohmac.c
11.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-osha1.osha1.c
12.gcc-g-ogoogle-authenticatorgoogle-authenticator.obase32.ohmac.osha1.o-ldl
13.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-opam_google_authenticator.opam_google_authenticator.c
14.gcc-shared-g-opam_google_authenticator.sopam_google_authenticator.obase32.ohmac.osha1.o-lpam
15.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-odemo.odemo.c
16.gcc-DDEMO--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-opam_google_authenticator_demo.opam_google_authenticator.c
17.gcc-g-rdynamic-odemodemo.opam_google_authenticator_demo.obase32.ohmac.osha1.o-ldl
18.gcc-DTESTING--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden\
19.-opam_google_authenticator_testing.opam_google_authenticator.c
20.gcc-shared-g-opam_google_authenticator_testing.sopam_google_authenticator_testing.obase32.ohmac.osha1.o-lpam
21.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-opam_google_authenticator_unittest.opam_google_authenticator_unittest.c
22.gcc-g-rdynamic-opam_google_authenticator_unittestpam_google_authenticator_unittest.obase32.ohmac.osha1.o-lc-ldl
23.
24.#makeinstall
25.cppam_google_authenticator.so/lib64/security
26.cpgoogle-authenticator/usr/local/bin
设置Google Authenticator
运行/usr/local/bin/google-authenticator
会在当前帐号home目录下生成相关配置文件。
01.Doyouwantmetoupdateyour"~/.google_authenticator"file(y/n)y
02.
03.https://www.google.com/chart?chs=200x200&;chld=M|0&cht=qr&chl=@server%3Fsecret%3DABCD12E3FGHIJKLMN
04.Yournewsecretkeyis:ABCD12E3FGHIJKLMN
05.Yourverificationcodeis98765432
06.Youremergencyscratchcodesare:
07.01234567
08.89012345
09.67890123
10.45678901
11.23456789
12.
13.Doyouwanttodisallowmultipleusesofthesameauthentication
14.token?Thisrestrictsyoutooneloginaboutevery30s,butitincreases
15.yourchancestonoticeorevenpreventman-in-the-middleattacks(y/n)y
16.
17.Bydefault,tokensaregoodfor30secondsandinordertocompensatefor
18.possibletime-skewbetweentheclientandtheserver,weallowanextra
19.tokenbeforeandafterthecurrenttime.Ifyouexperienceproblemswithpoor
20.timesynchronization,youcanincreasethewindowfromitsdefault
21.sizeof1:30mintoabout4min.Doyouwanttodoso(y/n)y
22.
23.Ifthecomputerthatyouareloggingintoisn'thardenedagainstbrute-force
24.loginattempts,youcanenablerate-limitingfortheauthenticationmodule.
25.Bydefault,thislimitsattackerstonomorethan3loginattemptsevery30s.
26.Doyouwanttoenablerate-limiting(y/n)y
sshd配置加入谷歌认证模块:
01./etc/pam.d/sshd
02.#%PAM-1.0
03.authrequiredpam_google_authenticator.so
04.authincludesystem-auth
05.accountrequiredpam_nologin.so
06.accountincludesystem-auth
07.passwordincludesystem-auth
08.sessionoptionalpam_keyinit.soforcerevoke
09.sessionincludesystem-auth
10.sessionrequiredpam_loginuid.so
1.修改/etc/ssh/sshd_config
2.加入hallengeResponseAuthenticationyes
本地网络登录帐号跳过谷歌认证模块设置:
/etc/pam.d/sshd 增加
1.auth[success=1default=ignore]pam_access.soaccessfile=/etc/security/access-local.conf
2.authrequiredpam_google_authenticator.so
3.在/etc/security/access-local.conf文件中增加:
4.#GoogleAuthenticatorcanbeskippedonlocalnetwork
5.+:ALL:192.168.0.0/24
6.+:ALL:LOCAL
7.-:ALL:ALL
允许192.196.0.0网段的用户登录帐号时跳过谷歌认证步骤。
整个跳板机部署完毕后,用户如何登录对于很多开发人员完全未知,站在用户的角度我们进行了一次内部分享,对如何登录跳板机做了简要说明。
当然较于现在出现的比较高大上的堡垒机而言,运维跳板机的功能还是相当简单,只实现了用户信息和权限管理的统一,同时也只是事后的安全审计,目前还不能事前控制以避免人员的误操作。堡垒机一般支持的协议有图形(RDP/VNC/X11)、字符(SSH/TELNET)、文件(FTP/SFTP)和一些数据库协议(MySQL、Oracle)等等。除此之外,除了未实现高端的图形界面显示和一些比较人性化的交互功能外,目前大部分的功能(比如单点登录,审计,帐号管理,操作也可以定位到来源和人员)我们都是具有的。
