Wprowadzenie do systemów uwierzytelniania Linux

Wprowadzenie do systemów uwierzytelniania Linux

„Jedną z dwóch najbardziej krytycznych linii obrony, na których polegają sieci i systemy Linux, jest uwierzytelnianie. Jest to standardowy termin logowania do systemu, zwykle za pomocą sysadminu. I jako użytkownik lub administrator Linux, jest to z pewnością coś, co musisz wiedzieć i zrozumieć.

Oczywiście systemy uwierzytelniania Linux są niezbędne i często istnieje potrzeba zrozumienia, jak je poprawnie zaimplementować.

Ten artykuł działa jako wprowadzenie do systemów uwierzytelniania Linuksa. Zatem wyróżnimy pięć metod uwierzytelniania użytkownika każdy użytkownik Linux. Przedstawimy również różne systemy uwierzytelniania Linux. Omówimy krótko Kerberos, SASL, SSH, NIS, NIS+i LDAP. A ponieważ prawie każdy z tych systemów."

Co to jest uwierzytelnianie?

Uwierzytelnianie to proces, w którym systemy komputerowe identyfikują użytkowników, którzy mogą uzyskać dostęp do systemu, urządzenia lub sieci. Jest to mechanizm kontroli dostępu, który identyfikuje użytkowników poprzez z góry określone tożsamości, takie jak nazwy użytkowników i hasła.

Administratorzy mogą używać protokołów uwierzytelniania do kontrolowania tego, co każdy użytkownik może lub nie może uzyskać dostępu. W ten sposób nieautoryzowani użytkownicy nie będą uzyskiwać dostępu do poufnych informacji. Na przykład administrator może kontrolować, w co Użytkownik X może uzyskać bez ujawnienia jakichkolwiek poufnych informacji związanych z użytkownikiem Y.

Uwierzytelnianie pomaga powstrzymać cyberprzestępcy przed uzyskaniem dostępu do sieci lub systemów. Nieautoryzowany dostęp nieuchronnie doprowadzi do kradzieży danych, naruszeń regulacyjnych i spamu lub złośliwego oprogramowania. Adobe, Yahoo i Equifax należą do najlepszych firm z najnowszymi historiami naruszenia danych.

Wspólne rodzaje uwierzytelniania

Nie można zrozumieć systemów uwierzytelniania bez znajomości wspólnych rodzajów uwierzytelniania. Zespoły bezpieczeństwa zawsze patrzą na środki zaradcze, aby poprawić swoje techniki. Ma to na celu zneutralizowanie stale poprawiających się wysiłków cyberprzestępców.

Bez godnych uwagi ulepszeń, strategii reagowania na incydenty i najwyższej klasy systemów bezpieczeństwa, firmy nie będą przeciwstawić się wyzwaniom związanym z uwierzytelnianiem XXI wieku.

Poniżej znajduje się 5 najważniejszych typów uwierzytelniania każdy administrator Linux;

  • Uwierzytelnianie oparte na hasłach- Hasła są zdecydowanie najczęstszymi rodzajami uwierzytelniania. Istnieją w formie liter, znaków specjalnych lub liczb. Administrowie i użytkownicy muszą tworzyć skomplikowane hasła składające się z kombinacji opcji dla maksymalnej ochrony. Ale podczas korzystania z haseł szukaj kiepskich ataków higieny i phishing, ponieważ może to osłabić twoje bezpieczeństwo.
  • Uwierzytelnianie oparte na certyfikatach- To kolejny sposób, w jaki technologie mogą użyć do identyfikacji użytkowników, urządzeń lub maszyn. Te cyfrowe certyfikaty są dokumentami elektronicznymi o tej samej koncepcji, którą zastosowano w paszportach lub paszportach. Zawierają one klucz publiczny każdego użytkownika i cyfrowy organ certyfikacyjny-Autorytet certyfikat.
  • Uwierzytelnianie wieloskładnikowe- Ta metoda uwierzytelniania wymaga więcej niż jednego niezależnego sposobu identyfikacji użytkowników. MFA dodają wiele warstw bezpieczeństwa. Obejmują one testy captcha, kody smartfonów, odciski palców i rozpoznawanie twarzy. Przydaje się w zapobieganiu hackom na koncie.
  • Uwierzytelnianie oparte na tokenach- Te typy uwierzytelniania umożliwiają użytkownikom zasilanie swoich poświadczeń tylko raz. Gdy to zrobią, otrzymają unikalny ciąg zaszyfrowanych znaków (tokenów), których następnie użyją do dostępu do systemów chronionych. Token cyfrowy to wystarczający dowód, że masz zgodę na dostęp do systemów.
  • Uwierzytelnianie biometryczne- Ta metoda wykorzystuje biometrię lub unikalne cechy biologiczne jednostki, aby umożliwić dostęp. Biometria obejmuje rozpoznawanie twarzy, skanery odcisków palców, rozpoznawanie głosu i skanery oczu.

Wspólne systemy uwierzytelniania Linuksa

W środowiskach Linux uwierzytelnianie pozostaje formalnym Syadmin Wymóg logowania do systemów. I na większości platform Linux, /etc/passwd jest często używany do przechowywania informacji o użytkownikach. Plik tekstowy zawiera login użytkownika, szyfrowanie haseł, numeryczny unikalny identyfikator użytkownika (UID) i numer grupy numerycznej (GUD). Plik tekstowy zawiera również katalog domowy użytkownika i preferowaną powłokę.

Tak więc typowe wpisy /etc/passwd Często przygląda się temu;

Jak się dowiesz, w dziedzinie Linux często używana jest szereg systemów uwierzytelniania i autoryzacji. Każdy projekt przydaje się do innego celu lub aplikacji. Ale co ciekawsze, możesz użyć więcej niż jednego protokołu autoryzacji w jednym komputerze.

Co więcej, wszystkie te systemy mają związek z PAM, w taki czy inny sposób. To wyjaśnia, dlaczego najpierw omówimy PAM (moduły uwierzytelniania wtyczki).

PAM (moduły uwierzytelniania wtyczki)

PAM obejmuje pakiet współdzielonych bibliotek umożliwiający lokalnym administratorom systemu wybrać, w jaki sposób różne aplikacje mogą uwierzytelnianie użytkowników. Na przykład dedykowany program odbędzie połączenie, gdy użytkownik połączy się z portem szeregowym lub siecią podczas logowania programu. SSH odbędzie połączenia obejmujące połączenia sieciowe i getty dla linii szeregowych, podczas gdy Telnet może również odbierać połączenia związane z połączeniami sieciowymi.

Gdy którykolwiek z powyższych programów odbędzie połączenie, rozpocznie program logowania. Zaloguje się i ostatecznie poprosi o nazwę użytkownika i hasło do weryfikacji w stosunku do poświadczeń w pliku /etc /passwd. PAM często tworzy warstwę ochrony między aplikacją a faktycznym protokołem uwierzytelniania.

Mimo to PAM może obsługiwać inne programy uwierzytelniania. Ale w przeciwieństwie do wspólnych programów uwierzytelniania, PAM może dokładniej obsługiwać dane sesji i konta. Na przykład PAM może sprzeciwić dostęp przez normalnych użytkowników między 5.30 po południu i 6.00 rano. Pliki PAM są dostępne pod adresem /etc/pam.D.

Przykładem wpisu konfiguracji pliku PAM w ustawieniu paranoicznym jest;

Najważniejsze systemy uwierzytelniania Linuksa obejmują;

LDAP (lekki protokół dostępu do katalogu)

Jak sama nazwa wspomina, LDAP jest lekkim protokołem uwierzytelniania często używanego do dostępu do x.500 usług katalogowych, między innymi. Działa nad usługami transferowymi, takimi jak moduły transferowe IP/TCP lub zorientowane na połączenie.

LDAP Protocol przechowuje wpisy, które są kolekcjami atrybutów o nazwach wyróżniających się globalnie (DN). Jedynym celem DN jest jednoznaczne odwołanie się do każdego wpisu. Poza tym każdy atrybut wpisu ma typ i przynajmniej jedną wartość.

W powyższym atrybucie typ jest pocztą, a Linhint.Com to wartość.

System LDAP działa na modelu klienta-serwer. Wyróżnia się jako mechanizm, za pomocą którego klienci mogą uwierzytelnić lub udowodnić swoje tożsamość w serwerach katalogowych i kwestionować serwer. LDAP odgrywa również znaczącą rolę we wspieraniu usług prywatności i bezpieczeństwa.

SASL (prosta warstwa uwierzytelniania i bezpieczeństwa)

Jeśli szukasz systemu uwierzytelniania do dodawania wsparcia i bezpieczeństwa do protokołów opartych na połączeniach, SASL jest tego rodzaju systemem. Ten system uwierzytelniania często zdefiniowany w RFC-2222 zawiera polecenie, które precyzyjnie identyfikuje i uwierzytelnia użytkowników na serwery i negocjuje warstwę bezpieczeństwa między tym protokołem a połączeniami.

SASL pomaga użytkownikom uwierzytelnić się na serwery bez wyświetlania haseł na otwartej. Podczas gdy SASL może być używany jako protokół tylko uwierzytelniający, przydaje się również do sprawdzenia integralności systemu lub serwera i szyfrowania. Możliwe jest zintegrowanie tego systemu z PAM i protokołem Kerberos.

Domyślna biblioteka SASL będzie przypominała;

Z drugiej strony przykładowa aplikacja serwerowa zawarta w bibliotece przyjmuje tę strukturę;

NIS i NIS+ (usługa informacji o sieci i usługa informacji o sieci Plus)

Jak sugerują nazwy, są to proste usługi wyszukiwania sieci obejmujące bazy danych i proste procesy. Usługa zmieniła nazwę z Sun Yellow Pages na usługę informacyjną z powodu problemów z prawem autorskim.

Chociaż oba działają podobnie, mają zmienność nazw z powodu ulepszeń technologicznych. Możesz więc trzymać się NIS i uciekać się do NIS+, jeśli masz tragiczne potrzeby bezpieczeństwa.

NIS i NIS+ często rozpowszechniają informacje, w tym;

  • Nazwy logowania lub katalogi i hasła (/etc/passwd)
  • Nazwy hostów i adresy IP (/itp./Hosty)
  • Informacje o grupie (itp./Grupa)

Zwykle, jeśli wykonujesz wyszukiwanie na /etc /host.Plik CONF, wynik dostarczy dostosowanych szczegółów tego wiersza;

Kerberos

Kerberos to niezawodny protokół uwierzytelniania sieciowego popularnie używany do uwierzytelniania aplikacji użytkownika lub serwerów za pomocą kryptografii Secret Key. Kerberos to mniej wrażliwe narzędzie uwierzytelniania niż inne systemy uwierzytelniania systemu OS Linux.

Nie wysyła niezaszyfrowanych haseł w sieciach, takich jak większość systemów uwierzytelniania. Poza tym, w przeciwieństwie do innych systemów, które opierają się na innych programach klientów dla niezawodności, Kerberos jest dość niezależny.

Kerberos zapewnia poświadczenia po wpisie w bazie danych Kerberos. Oczywiście wpis zawiera twoją główną nazwę Kerberos i hasło. Oprócz dostarczania poświadczeń, Kerberos podaje również szczegóły plików KeyTab.

Wpis dla hosta będzie wyglądał tak;

Z drugiej strony poświadczenia Kerberos przeglądane za pomocą polecenia Klist przybędą ten formularz;

SSH (Secure Shell)

Jednym z najpopularniejszych sposobów dostępu do systemów Linux jest program Telnet. Ale dostęp do konta Shell za pomocą Telnet stanowi niebezpieczeństwo, ponieważ wszystkie Twoje działania w programie Telnet podczas całej sesji pozostaną widoczne w zwykłym tekście w twoich sieciach.

SSH jest rozwiązaniem, które szyfruje dane dotyczące sieci lokalnych. Zapewnia również opcję dostarczania sieci z wyborem zapobiegania wyciekaniu haseł. Rezultatem jest eliminacja przechwytywania informacji nad systemami i eliminacja podszywienia się.

Chociaż może odgrywać różne role w sieci, jego podstawową funkcją jest połączenie się ze zdalnymi hostami do sesji terminalowych. To polecenie jest często używane;

Wniosek

Powyższe jest wprowadzeniem do systemów uwierzytelniania Linux. Oczywiście omówimy wszystkie pięć protokołów uwierzytelniania w innych sekcjach tej witryny bardziej szczegółowo.