Інструкції

CentOS: Активуйте двофакторну автентифікацію для підвищеного захисту

За допомогою рішення Protectimus для багатофакторної автентифікації (MFA) ви можете налаштувати двофакторну автентифікацію (2FA) в CentOS за кілька кроків.

1. Як працює двофакторна автентифікація (2FA) у CentOS

Після ввімкнення 2FA у CentOS користувачі повинні будуть вводити два паролі для доступу до своїх облікових записів:

Перший – це стандартний пароль (те, що користувач тримає в пам’яті);
Другий – це одноразовий пароль, який діє лише 30 або 60 секунд (одноразовий пароль генерується за допомогою апаратного OTP-токену або 2FA-додатку на телефоні користувача – тобто чогось, що належить користувачеві і що він повинен носити з собою).

Таким чином, обліковий запис CentOS стає захищеним двома різними факторами автентифікації. Навіть якщо хакер викраде пароль користувача за допомогою фішингу, перебору, соціальної інженерії, підміни даних або будь-якої іншої атаки, він не зможе отримати доступ до облікового запису CentOS без одноразового пароля з 2FA токена користувача.

Ця інструкція пояснює, як налаштувати двофакторну автентифікацію (2FA) в CentOS за допомогою компонента Protectimus RADIUS 2FA для інтеграції з хмарним сервісом Protectimus Cloud 2FA або локальною платформою Protectimus On-Premise MFA.

Схема налаштування CentOS 2FA (двофакторна автентифікація)

2. Як налаштувати двофакторну автентифікацію (2FA) в CentOS

Ви можете налаштувати двофакторну автентифікацію (2FA) в CentOS за допомогою Protectimus, використовуючи протокол RADIUS:

Зареєструйтеся в SAAS сервісі багатофакторної автентифікації або розгорніть On-Premise платформу MFA Protectimus, а потім налаштуйте базові параметри.

Встановіть Protectimus PAM модуль для CentOS 2FA

Встановіть та налаштуйте модуль Protectimus RADIUS Server.

2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus

Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
Додайте ресурс.
Додайте користувачів.
Додайте Токени або активуйте Портал самообслуговування користувачів.
Призначте токени користувачам.
Призначте токени з користувачами на ресурс.

2.2. Встановіть Protectimus PAM модуль для CentOS 2FA

yum -y install epel-release
yum -y install pam_radius

2.3. Встановіть та налаштуйте Protectimus RADIUS Server

Встановіть protectimus-radius

git clone https://github.com/protectimus/platform-linux.git
cd platform-linux/radius
edit config/radius.yml
docker compose up -d

Налаштуйте файл radius.yml.

Налаштуйте параметри Protectimus RADIUS Server у файлі radius.yml. Він повинен знаходитися в тому ж каталозі, що і виконуваний файл.

Детальні інструкції щодо доступних властивостей, які ви можете додати до файлу radius.yml, ви знайдете в нашому Посібнику з конфігурації Protectimus RADIUS Server.

Приклад конфігурації файлу radius.yml:

radius:
  secret: secret
  auth-port: 1812

auth:
  #  Could be :
  #  - LDAP
  #  - PROTECTIMUS_PASSWORD
  #  - PROTECTIMUS_OTP
  #  - PROTECTIMUS_PUSH
  providers:
	- PROTECTIMUS_OTP

protectimus-api:
  login: login@domain.com
  api-key: aslkjdljsdlaskmWpXjT5K0xqLXkd3
  url: https://api.protectimus.com/
  resource-name: radius
  resource-id: 723

Відредагуйте pam_radius config, налаштуйте secret

/etc/pam_radius.conf

# server[:port] shared_secret  	timeout (s)
127.0.0.1   	secret         	1

Налаштуйте SSH для використання методу виклику-відповіді (challenge response). /etc/ssh/sshd_config

ChallengeResponseAuthentication yes

Виконайте команду systemctl restart sshd

Налаштуйте PAM для SSH для використання RADIUS
Додайте рядок auth required pam_radius_auth.so після auth substack password-auth у файл /etc/pam.d/sshd.

#%PAM-1.0
auth   	required 	pam_sepermit.so
# protectimus pam radius
auth   	substack 	password-auth
auth   	required 	pam_radius_auth.so
auth   	include  	postlogin
# Used with polkit to reauthorize users in remote sessions
-auth  	optional 	pam_reauthorize.so prepare

Налаштування багатофакторної автентифікації в CentOS завершено. Якщо у вас виникли питання, зверніться до нашої служби підтримки клієнтів.

1. Як працює двофакторна автентифікація (2FA) у CentOS
2. Як налаштувати двофакторну автентифікацію (2FA) в CentOS
2.1. Зареєструйтеся та налаштуйте основні параметри Protectimus
2.2. Встановіть Protectimus PAM модуль для CentOS 2FA
2.3. Встановіть та налаштуйте Protectimus RADIUS Server

Автентифікація та верифікація

Класична 2FA / MFA

Класична 2FA / MFA

Автентифікація для Wi-Fi

Електронна верифікація відвідувань (EVV)

Популярні інтеграції

MFA для Windows та RDP

MFA для RADIUS

МЗС для OWA

MFA для VPN

MFA для ADFS

MFA для Roundcube

Ваша галузь

Фінансові послуги

Освіта

Охорона здоров'я

Уряд

Енергія

Онлайн ігри

Технологія

Державний сектор азартних ігор

Апаратні OTP-токени

Protectimus Slim NFC

Protectimus TWO

Protectimus FLEX

Protectimus SHARK

Програмні методи доставки одноразових паролів

Protectimus SMART

Protectimus BOT

Protectimus SMS

Protectimus MAIL

Protectimus PUSH

Інстукції з інтеграції

AD, LDAP, Бази даних

VPN-клієнти

Windows та RDP

VDI клієнти

Outlook Web App

CentOS

ADFS

Ubuntu

Office 365

Roundcube

Електронна верифікація відвідувань (EVV)

SMS-автентифікація в UniFi Wi-Fi

Початок роботи

Класична 2FA / MFA

Хмарний сервіс MFA

Локальна платформа MFA

Документація API

Інструкція з інтеграції API

Комплекти для розробки програмного забезпечення (SDK)

Java

PHP

Python

Resources

How it works

Blog

Customer Stories

Your Industry

FAQ

Become Our Partner

Support Center

Класична 2FA / MFA

Хмарний сервіс MFA

Класична 2FA / MFA

Локальна платформа MFA

MFA для AD, LDAP, Баз даних

Dynamic Strong Password Authentication

Автентифікація для Wi-Fi

SMS-автентифікація для Wi-Fi

Electronic Visit Verification (EVV)

Electronic Visit Verification (EVV)

MFA для Windows та RDP

MFA для RADIUS

MFA для OWA

MFA для VPN

MFA для ADFS

MFA для Roundcube

MFA для Office 365 (SSO)