Настройка двухфакторной аутентификации команды SUDO
В статье описывается настройка сервера Linux для включения двухфакторной аутентификации с одноразовым кодом доступа (OTP) или PUSH уведомлением при выполнении команды sudo.
Возможные способы аутентификации:
Мобильное приложение MultiFactorСМСАппаратные OTP токеныПриложения OTP: Google Authenticator или Яндекс.КлючTelegram
Принцип работы
- SUDO использует модуль PAM_RADIUS для второго фактора проверки подлинности
- Модуль подключается через RADIUS протокол к сервису Мультифактор
- Мультифактор отправляет одноразовый пароль или подверждение запроса доступа на телефон пользователя
- Пользователь вводит одноразовый пароль или подтверждает запрос в телефоне
Настройка Мультифактора
Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый Linux сервер. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов.
Установка и настройка модуля PAM_RADIUS
$ sudo yum -y install epel-release
$ sudo yum -y install pam_radius
Далее создайте файл конфигурации
$ sudo vi /etc/pam_radius_sudo.conf
Впишите в него настройки RADIUS сервера Мультифактора, сохраните и закройте редактор (:x)
radius.multifactor.ru SHARED_SECRET 40
где:
- radius.multifactor.ru: адрес сервера
- SHARED_SECRET: скопируйте из соответствующего параметра настроек Linux ресурса Мультифактор
- 40: таймаут ожидания запроса с запасом
В файле хранится секретный ключ, поэтому установите на него права доступа на чтение только пользователю root
$ sudo chmod 0600 /etc/pam_radius_sudo.conf
Настройка PAM модулей sudo
Откройте для редактирования файл /etc/pam.d/sudo
$ sudo vi /etc/pam.d/sudo
Отредактируйте файл следующим образом:
#%PAM-1.0
auth substack system-auth
auth required pam_radius_auth.so skip_passwd client_id=NAS_Identifier conf=/etc/pam_radius_sudo.conf
account include system-auth
password include system-auth
session include system-auth
#%PAM-1.0
auth required pam_radius_auth.so skip_passwd client_id=NAS_Identifier conf=/etc/pam_radius_sudo.conf
account include system-auth
password include system-auth
session include system-auth
где
- NAS_Identifier: скопируйте из соответствующего параметра настроек Linux ресурса Мультифактор.
Сохраните и закройте файл (:x).