Настройка двухфакторной аутентификации команды SUDO

В статье описывается настройка сервера Linux для включения двухфакторной аутентификации с одноразовым кодом доступа (OTP) или PUSH уведомлением при выполнении команды sudo.

Возможные способы аутентификации:

  • СМС
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • Telegram
  • Мобильное приложение (скоро)

Принцип работы

  1. SUDO использует модуль PAM_RADIUS для второго фактора проверки подлинности
  2. Модуль подключается через RADIUS протокол к сервису Мультифактор
  3. Мультифактор отправляет одноразовый пароль или подверждение запроса доступа на телефон пользователя
  4. Пользователь вводит одноразовый пароль или подтверждает запрос в телефоне

Настройка Мультифактора

Зайдите в систему управления Мультифактором, далее в раздел "Ресурсы" и создайте новый Linux сервер. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов.

Установка и настройка модуля PAM_RADIUS

$ sudo yum -y install epel-release
$ sudo yum -y install pam_radius

Далее создайте файл конфигурации

$ sudo vi /etc/pam_radius_sudo.conf

Впишите в него настройки RADIUS сервера Мультифактора, сохраните и закройте редактор (:x)

radius.multifactor.ru   SHARED_SECRET   40

где:

  • radius.multifactor.ru: адрес сервера
  • SHARED_SECRET: скопируйте из соответствующего параметра настроек Linux ресурса Мультифактор
  • 40: таймаут ожидания запроса с запасом

В файле хранится секретный ключ, поэтому установите на него права доступа на чтение только пользователю root

$ sudo chmod 0600 /etc/pam_radius_sudo.conf

Настройка PAM модулей sudo

Откройте для редактирования файл /etc/pam.d/sudo

$ sudo vi /etc/pam.d/sudo

Отредактируйте файл следующим образом:

#%PAM-1.0
auth        substack    system-auth                                                                                                                                        
auth        required    pam_radius_auth.so skip_passwd client_id=NAS Identifier conf=/etc/pam_radius_sudo.conf
account     include     system-auth
password    include     system-auth
session     include     system-auth
#%PAM-1.0
auth        required    pam_radius_auth.so skip_passwd client_id=NAS Identifier conf=/etc/pam_radius_sudo.conf
account     include     system-auth
password    include     system-auth
session     include     system-auth

где

Сохраните и закройте файл (:x).

Last updated on 2020-8-11
Настройка Linux SSHНастройка VMware vCloud Director