এসএসএইচ সহ পাসওয়ার্ডহীন অ্যাকাউন্টগুলির জন্য একটি সুসংগত এবং নিরাপদ পদ্ধতির

আমার অবশ্যই স্বীকার করতে হবে যে আমি কিছু ক্ষেত্রে পাসওয়ার্ড ছাড়াই সার্ভার পছন্দ করি। একটি সাধারণ সার্ভার যার কাছে এতে শারীরিক অ্যাক্সেস রয়েছে তার পক্ষে দুর্বল। তাই কিছু ক্ষেত্রে এটি শারীরিকভাবে লক করা ব্যবহারিক এবং তারপরে যে কোনও শারীরিক অ্যাক্সেসকে বিশ্বাস করুন ।

মৌলিক ধারণা

তত্ত্ব অনুসারে, আমি যখন শারীরিকভাবে এই জাতীয় সার্ভারে পৌঁছে যাই, তখন আমাকে rootলগইন হিসাবে টাইপ করে পাসওয়ার্ড ছাড়াই প্রশাসনিক কার্য সম্পাদন করতে সক্ষম হওয়া উচিত এবং আমাকে পাসওয়ার্ডের জন্য জিজ্ঞাসা করা উচিত নয়। একই ব্যবহারকারীর অ্যাকাউন্টগুলিতে প্রয়োগ হতে পারে তবে তাদের বাস্তবিকভাবে কোনও শারীরিকভাবে অ্যাক্সেস করতে পারে না। সুতরাং (মাঝে মধ্যে) স্থানীয় অ্যাক্সেসের জন্য কোনও সিস্টেমের পাসওয়ার্ডের প্রয়োজন হয় না।

সার্ভারকে দূর থেকে অ্যাক্সেস করার সময় প্রশাসনের জন্য, বা ব্যবহারকারীর অ্যাকাউন্টের জন্য, আমি সর্বদা একটি এসএসএইচ ব্যক্তিগত কী ব্যবহার করার প্রত্যাশা করি। কেবলমাত্র তৈরি করা অ্যাকাউন্টের জন্য একটি এসএসএইচ কী স্থাপন করা খুব সহজ এবং এইভাবে (নিয়মিত) দূরবর্তী অ্যাক্সেসের জন্য কোনও সিস্টেম পাসওয়ার্ডের প্রয়োজন হয় না।

# user=...
# 
# useradd -m "$user"
# sudo -i -u "$user"

$ keyurl=...
$
$ mkdir -p .ssh
$ curl -o .ssh/authorized_keys "$keyurl"

উপসংহারে, তাত্ত্বিকভাবে, আমরা এর মতো ব্যবহারের ক্ষেত্রে কোনও সিস্টেমের পাসওয়ার্ডের দরকার নেই। সুতরাং প্রশ্নটি হল, আমরা কীভাবে সিস্টেম এবং ব্যবহারকারী অ্যাকাউন্টগুলিকে এটি একটি সামঞ্জস্যপূর্ণ এবং সুরক্ষিত উপায়ে তৈরি করতে কনফিগার করব।

স্থানীয় অ্যাক্সেসের বিশদ

আমরা কীভাবে নিশ্চিত করব যে কোনও পাসওয়ার্ড ছাড়াই রুট অ্যাকাউন্টটি স্থানীয়ভাবে অ্যাক্সেস করা যায়? আমি মনে করি না যে আমরা এটি ব্যবহার করতে পারি passwd -dযা এর ফলে রুট অ্যাক্সেসকে খুব অনুমতি দেওয়া হবে এবং একটি অনিবদ্ধ ব্যবহারকারী বিনা মূল্যে রুটে যেতে পারেন , যা ভুল। passwd -lএটি আমাদের লগ ইন করা থেকে বাধা দেওয়ার কারণে আমরা ব্যবহার করতে পারি না ।

দ্রষ্টব্য যে স্থানীয় অ্যাক্সেস কেবল স্থানীয় কীবোর্ড ব্যবহারের অ্যাক্সেস সম্পর্কে। অতএব একটি বৈধ সমাধান অবশ্যই কোনও ব্যবহারকারীর স্যুইচিং (ব্যবহার করা suবা নাও sudo) মঞ্জুরি দেয় না ।

রিমোট অ্যাক্সেসের বিশদ

সাম্প্রতিক অবধি উপরের সমাধানটি কাজ করবে তবে এখন এসএসএইচ লক ব্যবহারকারীদের অ্যাকাউন্টগুলি পরীক্ষা করতে শুরু করেছে। আমরা সম্ভবত passwd -dএকই কারণে ব্যবহার করতে পারি না । আমরা passwd -uএটি ব্যবহার করতে পারি না কারণ এটি কেবল অভিযোগ করে যে এটি যা করে তার দিকে পরিচালিত passwd -dকরে।

এই অংশটির জন্য ডামি পাসওয়ার্ড সহ একটি চুক্তি রয়েছে।

user=...

echo -ne "$user:`pwgen 16`\n" | chpasswd

সম্পূর্ণ এসএসএইচে লক করা অ্যাকাউন্ট চেকিং বন্ধ করাও সম্ভব হতে পারে তবে লক করা অ্যাকাউন্টগুলির সমর্থন ধরে রাখা এবং সেগুলি আনলক করতে সক্ষম হওয়া ভাল।

চূড়ান্ত নোট

আমি যা আগ্রহী তা হ'ল এমন একটি সমাধান যা আপনাকে স্থানীয়ভাবে রুট অ্যাকাউন্টে এবং কোনও পাসওয়ার্ড ছাড়াই দূরবর্তীভাবে রুট সহ সমস্ত অ্যাকাউন্টগুলিতে লগ ইন করতে দেয়। অন্যদিকে, কোনও সমাধান অবশ্যই স্পষ্টভাবে বর্ণিত উপায়ে ব্যতীত সুরক্ষাকে প্রভাবিত করবে না, বিশেষত দূরবর্তী ব্যবহারকারীদের রুট অ্যাকাউন্ট বা অন্যান্য ব্যবহারকারীর অ্যাকাউন্টে অ্যাক্সেস না দিয়ে। সমাধানটি পর্যাপ্ত শক্তিশালী হওয়া উচিত যাতে এটি অপ্রত্যক্ষভাবে সুরক্ষা সমস্যার কারণ না ঘটে।

একটি গৃহীত এবং পুরষ্কার প্রাপ্ত উত্তর পৃথক সরঞ্জামগুলির বিশদ কনফিগারেশন বর্ণনা করতে পারে বা নাও করতে পারে তবে বর্ণিত লক্ষ্যে পৌঁছানোর জন্য মূল পয়েন্ট থাকতে হবে। নোট যে এই সম্ভবত মত সরঞ্জাম প্রচলিত ব্যবহারের মাধ্যমে সমাধান করা যায় না passwd, ssh, su, sudoকথা বলা ইত্যাদি।

প্রথম উত্তরগুলি পড়ার পরে আরও ধারণা

কেবল একটি ধারণা - স্থানীয় রুট অ্যাক্সেস লগইন প্রক্রিয়াগুলির পরিবর্তে রুট শেল শুরু করে অর্জন করা যেতে পারে। তবে এখনও কেবল পাসওয়ার্ড প্রমাণীকরণ লক করার প্রয়োজন আছে, পাবলিক কী প্রমাণীকরণ নয়।

প্রয়োজনীয়তাগুলি যার জন্য আমি বুলেট পয়েন্ট হিসাবে সমাধানগুলি সরবরাহ করব:

1. পাসওয়ার্ডবিহীন রুট কনসোল লগইন
2. প্রাক-অনুমোদিত ব্যবহারকারীদের পাসওয়ার্ডবিহীন মূল দূরবর্তী লগইন
3. প্রাক-অনুমোদিত ব্যবহারকারীদের নির্দিষ্ট অ্যাকাউন্টগুলির জন্য পাসওয়ার্ডহীন দূরবর্তী লগইন
4. প্রাক-অনুমোদিত ব্যবহারকারীদের কোনও অ্যাকাউন্টের জন্য পাসওয়ার্ডহীন দূরবর্তী লগইন

নিম্নলিখিত উদাহরণগুলি ডেবিয়ানের উপর ভিত্তি করে তৈরি করা হয়েছে, যেহেতু আমি এখানে পরীক্ষার জন্য এসেছি। তবে, কোনও বিতরণে (বা প্রকৃতপক্ষে কোনও পিএএম-ভিত্তিক * ix ডেরিভেটিভ) নীতিগুলি প্রয়োগ করা যায় না তার কোনও কারণ আমি দেখতে পাচ্ছি না।

পাসওয়ার্ডবিহীন রুট কনসোল লগইন

আমি মনে করি যেভাবে আমি এর কাছে যাব তা হ'ল পিএএম এবং /etc/securettyকনফিগারেশন ফাইলটি উপার্জন করা ।

পূর্ব-প্রয়োজনীয় হিসাবে, একটি "পর্যাপ্ত সুরক্ষিত" রুট পাসওয়ার্ড সেট করা আবশ্যক। কনসোল লগইনের জন্য এটি প্রয়োজন হয় না তবে ব্রুটি ফোর্স ক্র্যাকিংয়ের প্রচেষ্টা অবাস্তব করার জন্য এটি বিদ্যমান। অ্যাকাউন্ট অন্যথায় একটি পুরোপুরি স্বাভাবিক রুট অ্যাকাউন্ট।

ইন /etc/pam.d/loginআমি প্রমাণীকরণের জন্য লাইন (যাদের শব্দ দিয়ে শুরু নিম্নলিখিত মান সেট আছে auth):

auth       optional   pam_faildelay.so  delay=3000000
auth [success=ok new_authtok_reqd=ok ignore=ignore user_unknown=bad default=die] pam_securetty.so
auth       requisite  pam_nologin.so

@include common-auth
auth       optional   pam_group.so

রেফারেন্সযুক্ত common-authফাইলের মধ্যে নিম্নলিখিত সম্পর্কিত লাইন থাকে:

auth    [success=1 default=ignore]      pam_unix.so nullok_secure
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so
auth    optional                        pam_cap.so

common-authফাইল নির্দেশ করে পিএএম এক শাসন (অস্বীকার) যদি একটি "ইউনিক্স লগইন" সফল এড়িয়ে যেতে। সাধারণত এটি একটি ম্যাচ মানে /etc/shadow।

auth ... pam_securetty.soলাইন TTY ডিভাইসের উল্লেখিত উপর ব্যতীত রুট লগইন প্রতিরোধ করার জন্য কনফিগার করা /etc/securetty। (এই ফাইলটিতে ইতিমধ্যে সমস্ত কনসোল ডিভাইস অন্তর্ভুক্ত রয়েছে))

এই authরেখাকে সামান্য সংশোধন করার মাধ্যমে একটি বিধি নির্দিষ্ট করা সম্ভব যা নির্দিষ্ট টিটি ডিভাইস থেকে পাসওয়ার্ড ছাড়াই রুট লগইনের অনুমতি দেয় /etc/securetty। success=okপরামিতি যাতে সংশোধন করা প্রয়োজন okসংখ্যা দ্বারা প্রতিস্থাপিত হয় authলাইন একটি সফল ম্যাচ ঘটনা এড়ানো হবে। এখানে প্রদর্শিত পরিস্থিতিতে, সেই সংখ্যাটি 3, যা auth ... pam_permit.soলাইনটিতে লাফিয়ে লাফিয়ে উঠেছে :

auth [success=3 new_authtok_reqd=ok ignore=ignore user_unknown=bad default=die] pam_securetty.so

প্রাক-অনুমোদিত ব্যবহারকারীদের পাসওয়ার্ডবিহীন মূল দূরবর্তী লগইন

এটি অনুমোদিত authorized_keysফাইল ব্যবহারকারীদের রুট ফাইলে যুক্ত হওয়ার জন্য এসএসএস কীগুলির সরল অন্তর্ভুক্তি ।

প্রাক-অনুমোদিত ব্যবহারকারীদের নির্দিষ্ট অ্যাকাউন্টগুলির জন্য পাসওয়ার্ডহীন দূরবর্তী লগইন

এটি অনুমোদিত এবং উপযুক্ত ব্যবহারকারীর .ssh/authorized_keysফাইলগুলিতে অনুমোদিত ব্যবহারকারীদের জন্য এসএসএস কীগুলির সরল অন্তর্ভুক্তি । (সাধারণ দূরবর্তী ব্যবহারকারী ক্রিস স্থানীয় ব্যবহারকারী ক্রিস দৃশ্যে পাসওয়ার্ডহীন লগইন চায় wants )

নোট করুন যে অ্যাকাউন্টগুলি তৈরির পরে ডিফল্ট লক অবস্থায় থাকতে পারে (যেমন কেবল !পাসওয়ার্ডের ক্ষেত্রে রয়েছে /etc/shadow) তবে এসএসএইচ কী ভিত্তিক লগইনকে অনুমতি দেয়। নতুন ব্যবহারকারীর .ssh/authorized_keysফাইলে কীটি রাখার জন্য এটির মূল প্রয়োজন । যা এতটা সুস্পষ্ট নয় তা হ'ল এই পদ্ধতিটি কেবল তখনই UsePAM Yesসেট আপ থাকে যখন সেট করা থাকে /etc/ssh/sshd_config। পিএএম !"পাসওয়ার্ডের জন্য অ্যাকাউন্ট লক করা থাকলেও অন্যান্য অ্যাক্সেস পদ্ধতির অনুমতি দেওয়া হতে পারে" এবং !..."অ্যাকাউন্ট লক করা আছে Per সময়কাল " হিসাবে পার্থক্য করে । (যদি UsePAM Noসেট করা থাকে তবে ওপেনএসএইচ !একটি লক করা অ্যাকাউন্ট উপস্থাপনের জন্য পাসওয়ার্ড ক্ষেত্র শুরু করার যে কোনও উপস্থিতি বিবেচনা করে ))

প্রাক-অনুমোদিত ব্যবহারকারীদের কোনও অ্যাকাউন্টের জন্য পাসওয়ার্ডহীন দূরবর্তী লগইন

আপনি এই সুবিধাটি চান কিনা তা আমার কাছে সম্পূর্ণ পরিষ্কার ছিল না। যথা, নির্দিষ্ট অনুমোদিত ব্যবহারকারীরা যে কোনও স্থানীয় অ্যাকাউন্টে কোনও পাসওয়ার্ড ছাড়াই লগইন করতে পারবেন।

আমি এই দৃশ্যের পরীক্ষা করতে পারি না তবে আমি বিশ্বাস করি এটি ওপেনএসএসএইচ 5.9 বা আরও নতুন দিয়ে অর্জন করা যেতে পারে, যা একাধিক authorized_keysফাইলকে সংজ্ঞায়িত করার অনুমতি দেয় /etc/ssh/sshd_config। দ্বিতীয় ফাইলটি অন্তর্ভুক্ত করতে কনফিগারেশন ফাইলটি সম্পাদনা করুন /etc/ssh/authorized_keys। আপনার নির্বাচিত অনুমোদিত ব্যবহারকারীদের পাবলিক কীগুলি এই ফাইলে যুক্ত করুন, অনুমতিগুলি নিশ্চিত করে যে এটি রুটের মালিকানাধীন এবং কেবল রুট দ্বারা লিখিত অ্যাক্সেস রয়েছে (0644)।

মনে হচ্ছে আপনি ssh কী এবং সম্পূর্ণ NOPASSWDঅ্যাক্সেস সহ বাস্তব (নন-রুট) ব্যবহারকারীর অ্যাকাউন্ট চান sudo(যা এই দিনে বেশিরভাগ লিনাক্সে ডিফল্টরূপে পাওয়া যায় এবং ম্যানুয়ালি ইনস্টল করতেও তুচ্ছ)। প্রতিটি ব্যবহারকারীর অ্যাকাউন্টের জন্য আপনার খালি পাসওয়ার্ড থাকতে পারে (যা দূর থেকে কাজ করবে না), তারপরে ব্যবহারকারী হয় চালান sudo -sবা ব্যবহারকারীর ~/.bash_profileকেবল সেই কমান্ডটি রয়েছে।

sudo

প্রতিটি ব্যবহারকারীকে sudoইউএনআইএক্স গ্রুপে যুক্ত করুন (উদাহরণস্বরূপ usermod -a -G sudo USERNAME, যদিও পুরানো সিস্টেমগুলির কাছে এটি করার স্বল্পতর স্বজ্ঞাত উপায় থাকবে; সবচেয়ে খারাপ ক্ষেত্রে, আপনি /etc/groupsসরাসরি সম্পাদনা করুন )।

ইন /etc/sudoersবা /etc/sudoers.d/local, আপনি এটির মতো একটি লাইন চাই:

%sudo    ALL=(ALL:ALL) NOPASSWD: ALL

আপনি যদি স্বয়ংক্রিয় রুট অ্যাক্সেস চান তবে এটি ব্যবহারকারীর প্রোফাইলে যুক্ত করুন। কারণ bash, এটি হবে ~/.bash_profile:

sudo -s

কে আপনাকে লগ ইন করেছে তা দেখার অনুমতি দেয় (চেষ্টা করুন whoবা last) এবং লগ ইন ছেড়ে যাবে /var/log/auth.log।

পাসওয়ার্ডহীন লগইন

অনেক পুরানো সিস্টেমে আপনি কেবল সম্পাদনা করতে পারেন /etc/passwd(বা কিছুটা পুরানো সিস্টেমগুলিতে /etc/shadow) এবং হ্যাশটি সরিয়ে ফেলতে পারেন, উদাহরণস্বরূপ ন্যায়বিচারে bob:$1$salt$hash:12345:0:99999:7:::পরিণত হয় bob::12345:0:99999:7:::। এটি আপনার প্রয়োজন ছিল। আধুনিক সিস্টেমগুলি এটি পছন্দ করে না। এটি করার সম্ভবত অন্যান্য উপায় আছে তবে আমি যেভাবে সবে যাচাই করেছি তা নীচে ^{_{(উত্স: লিওর র্যান্ডম স্টাফ )}} :

/etc/shadowবাস্তব তথ্য সহ একটি অ্যাকাউন্ট খুলুন এবং পর্যবেক্ষণ করুন। এতে ডলারের চিহ্ন ( $) দ্বারা সীমাবদ্ধ তিনটি উপাদান অন্তর্ভুক্ত থাকবে । এগুলি হ্যাশিং প্রক্রিয়া, তারপরে লবণ এবং তারপরে হ্যাশ উপস্থাপন করে। নুনটি নোট করুন, তারপরে এটি চালান:

openssl passwd -1 -salt SALT

(এটি MD5 হ্যাশিং প্রক্রিয়া হিসাবে ব্যবহার করে It's এটি একটি ফাঁকা পাসওয়ার্ড, সুতরাং আপনার কোনও আপত্তি করা উচিত নয়)) পাসওয়ার্ডের জন্য অনুরোধ জানানো হলে, এন্টার টিপুন। যে কোনও স্ট্রিং বিন্দু সহ সেই স্ট্রিংটি সংরক্ষণ করুন এবং সেই ব্যবহারকারীর লাইনে প্রথম কোলনের পরে এটি আটকে দিন /etc/shadow(এটি প্রথম এবং দ্বিতীয় কোলনের মধ্যে থাকা কোনও প্রাক-বিদ্যমান সামগ্রীকে প্রতিস্থাপন করবে)। (দয়া করে আক্ষরিকভাবে SALTআপনার লবণ হিসাবে ব্যবহার করবেন না !)

, SSH

আপনার sshডেমন কনফিগারেশন হয় /etc/sshd_configবা হয় বাস /etc/ssh/sshd_config। যথাযথ সুরক্ষার জন্য, আমি এটিতে এই লাইনগুলি অন্তর্ভুক্ত করার পরামর্শ দিচ্ছি:

PermitRootLogin no
PermitEmptyPasswords no

পরিশীলিত আক্রমণকারীদের বিরুদ্ধে আরও কঠোর করার জন্য আপনি আপনার এসএসএস কনফিগারেশনে যুক্ত করতে পারেন এমন অতিরিক্ত সুরক্ষা ব্যবস্থার জন্য সিকিওর সেল শেল লিখনআপ দেখুন ।

খালি পাসওয়ার্ড থাকার কারণে এখন আপনার ব্যবহারকারীরা লগ ইন করতে পারবেন নাssh (এটি একটি প্রয়োজনীয় সুরক্ষা ব্যবস্থা)। এর অর্থ তারা কেবল ssh কী দিয়ে লগ ইন করতে পারে।

প্রতিটি ব্যবহারকারীর, তাদের প্রতিটি ক্লায়েন্ট সিস্টেমের জন্য একটি ssh কী জুড়ি তৈরি করা উচিত, যেমন

ssh-keygen -t rsa -b 4096 -f $HOME/.ssh/id_rsa -o -a 100 -C "Bob Roberts on his laptop"

এটিতে একটি প্রাইভেট কী $HOME/.ssh/id_rsaএবং এ একটি পাবলিক কী তৈরি করে $HOME/.ssh/id_rsa.pub। সেই ব্যবহারকারীকে আপনাকে তাদের সর্বজনীন কীগুলি প্রেরণ করুন এবং এটিকে এই সার্ভারের সাথে যুক্ত করুন $HOME/.ssh/authorized_keys(নোট করুন যে প্রতিটি ব্যবহারকারীর $HOME/.sshঅবশ্যই মোড 700 হওয়া আবশ্যক mkdir -p ~user/.ssh && chmod 700 ~user/.ssh)।

যে ব্যবহারকারীরা ssh কী চান না তাদের শারীরিক সিস্টেমে যেতে পারে। সেখানে, তাদের ফাঁকা পাসওয়ার্ড তাদের লগ ইন করবে, যে মুহুর্তে তারা passwdশেল থেকে টাইপ করতে পারে এবং একটি পাসওয়ার্ড সেট করতে পারে, এইভাবে তাদের দূরবর্তী অ্যাক্সেসের অনুমতি দেয়।

(আমি যখন আইটি বিভাগ চালাতাম তখন লোকেরা সিস্টেমের সংগ্রহগুলিতে ফিরে যেতে অ্যাক্সেস দিতে প্রকৃতপক্ষে এই কৌশলটি ব্যবহার করেছিলাম s এটি ব্যবহারকারীদের এসএসএস কী ব্যবহার করতে বাধ্য করেছিল এবং তাদের পাসওয়ার্ড দিতে হয়নি didn't তাদের প্রাথমিকের ~/.bash_profileনীচে দুটি লাইন ছিল: passwdএবং তারপরে mv ~/.bash_profile.real ~/.bash_profileতারা প্রথম লগইন করার পরে একটি নতুন পাসওয়ার্ড সেট করে)

ঝুঁকি

আপনি আপনার ব্যবহারকারীদের উপর পূর্ণ আস্থা রাখছেন। কোনও ব্যবহারকারীর অন্য ব্যবহারকারীর ~/.ssh/authorized_keysফাইলের সাথে জগাখিচিতে বাধা দেওয়া এবং এইভাবে আপনার প্রত্যাহার এবং অডিট অ্যাক্সেসের ক্ষমতাকে পরিবর্তন করার কিছু নেই, তবে আপনি যদি সম্পূর্ণ রুট অ্যাক্সেস দিচ্ছেন তবে এটি অনিবার্য নয়।

উপসংহার

প্রতিটি ব্যবহারকারী এখন সুডো গ্রুপের সদস্য এবং একটি রুট শেলের পুরো পাসওয়ার্ডহীন অ্যাক্সেস রয়েছে। এই ব্যবহারকারীদের তাদের অ্যাকাউন্টগুলির জন্য কোনও পাসওয়ার্ড নেই এবং ssh কী ব্যবহার করে দূর থেকে লগ ইন করতে পারেন।

আপনি যদি আপনার কোনও কর্মচারীকে হারিয়ে ফেলেন তবে আপনি তার অ্যাকাউন্টটি সরিয়ে ফেলতে পারেন। যদি আপনার কোনও কর্মচারীর ল্যাপটপ চুরি হয়ে যায়, আপনি সেই ব্যবহারকারীর authorized_keysফাইল থেকে সেই ল্যাপটপের এসএস কী সরিয়ে ফেলতে পারেন । আপনার যদি সুরক্ষা লঙ্ঘন হয় তবে আপনার লগগুলি রয়েছে যে কে লগ ইন করেছে তা দেখিয়ে।