基于openldap+Kerberos+google authenticator动态口令实现的运维跳板机

From：http://www.it165.net/os/html/201405/8407.html

出于安全考虑，大多数公司的办公环境和业务环境在网络层面基本上是隔离开的，在办公环境是无法直接连到业务生产环境的，只有做过特定白名单同性的情况下才会允许这么做。这样做了，开发人员需要访问生产环境服务器排查问题或者运维人员通过办公网络对生产环境进行维护就不太方便，但是网络一旦开通又会出现安全风险。

 

在这种情况下，就需要一种可以控制网络入口，能够统一授权，认证的系统，这样运维跳板机，也就是比较严格意义上的AAAA认证系统就出现了。

 

所谓的4A认证系统其实是指：

统一用户账号（Account）

统一认证（Authentication）

统一授权（Authorization）

统一安全审计（Audit）

 

 

我们公司使用的是openldap（管理用户信息，同时实现资源访问控制），Kerberos（网络鉴权），google authenticator（二次认证的动态口令），bash （修改源码，实现账户远程登录操作

日志记录）

 

 

系统环境： 64位 CentOS linux 6.3

 

openldap+bdb+phpldapadmin

 

openldap:

master端：yum 安装

openldap

openldap-clients

openldap-servers

nss_ldap

 

客户端：yum方式

openldap

nss_ldap

 

slapd.conf配置文件修改：

01.databasebdb

02.suffix"dc=dianping,dc=com"

03.rootdn"cn=ldapadmin,dc=dianping,dc=com"

04.#Cleartextpasswords,especiallyfortherootdn,should

05.#beavoid.Seeslappasswd(8)andslapd.conf(5)fordetails.

06.#Useofstrongauthenticationencouraged.

07.rootpw!@qwaszx

08.#ThedatabasedirectoryMUSTexistpriortorunningslapdAND

09.#shouldonlybeaccessiblebytheslapdandslaptools.

10.#Mode700recommended.

11.directory/usr/local/openldap/var/openldap-data

12.#Indicestomaintain

13.indexobjectClasseq

14.#indexuidNumbereq

15.

16.

17.cachesize50000

18.checkpoint10245

19.idletimeout20

20.syncreplrid=005

21.provider=

22.binddn="cn=ldapadmin,dc=dianping,dc=com"

23.bindmethod=simple

24.credentials=hehehehhe,qunying.liu

25.searchbase="dc=dianping,dc=com"

26.type=refreshAndPersist

27.interval=00:00:00:10

28.retry="553005"

29.timeout=1

30.mirrormodetrue

31.overlaysyncprov

32.syncprov-checkpoint10010

33.syncprov-sessionlog100

34.sizelimit700

35.timelimit20

36.databasemonitor

 

系统加入ldap认证：

1.vi/etc/nsswitch.conf

2.passwd:filesldap

3.shadow:filesldap

4.group:filesldap

打开ldap服务日志：

syslog中加入ldap日志文件

1.vi/etc/syslog.conf

2.#saveOpenLDAPlog

3.local4.*/var/log/ldap.log

 

客户端修改 /etc/ldap.conf

1.hostserver1

2.#Thedistinguishednameofthesearchbase.

3.baseou=ldap,ou=auth,dc=dianping,dc=com

 

Openldapadmin配置

1.Tarzxvfopenldapadmin-1.2.3.tar.gz

2.Cdopenldapadmin-1.2.3

3.mvphpldapadmin-1.2.3/var/www/localhost/htdocs/phpldapadmin–r

4.cd/var/www/localhost/htdocs/phpldapadmin

5.cpconfig/config.php.exampleconfig/config.php

6.修改config.php文件

登录phpldapadmin，设置的登录密码(hehehehhe,qunying.liu)登录

 

 

Kerberos:

Kerberos认证协议

 

Kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。

 

使用Kerberos时，一个客户端需要经过三个步骤来获取服务:

 

认证：客户端向认证服务器发送一条报文，并获取一个含时间戳的Ticket-Granting Ticket（TGT）。

授权：客户端使用TGT向Ticket-Granting Server（TGS）请求一个服务Ticket。

服务请求：客户端向服务器出示服务Ticket，以证实自己的合法性。该服务器提供客户端所需服务，在Hadoop应用中，服务器可以是namenode或jobtracker。

 

为此，Kerberos需要The Key Distribution Centers（KDC）来进行认证。KDC只有一个Master，可以带多个slaves机器。slaves机器仅进行普通验证。Mater上做的修改需要自动同步到slaves。

另外，KDC需要一个admin，来进行日常的管理操作。这个admin可以通过远程或者本地方式登录。

 

搭建Kerberos

 

1.安装：通过yum安装即可，组成KDC。

1.yuminstall-ykrb5-serverkrb5-libkrb5-workstation

2.配置：Kerberos的配置文件只有两个。在server1中创建以下两个文件,并同步/etc/krb5.conf到所有机器。

/var/kerberos/krb5kdc/kdc.conf:包括KDC的配置信息。默认放在 /usr/local/var/krb5kdc。或者通过覆盖KRB5_KDC_PROFILE环境变量修改配置文件位置。

01.配置示例：

02.[kdcdefaults]

03.kdc_ports=88

04.kdc_tcp_ports=88

05.[realms]

06.Qunying.liu={

07.master_key_type=aes128-cts

08.acl_file=/var/kerberos/krb5kdc/kadm5.acl

09.dict_file=/usr/share/dict/words

10.admin_keytab=/var/kerberos/krb5kdc/kadm5.keytab

11.max_renewable_life=7d

12.supported_enctypes=aes128-cts:normaldes3-hmac-sha1:normalarcfour-hmac:normaldes-hmac-sha1:normaldes-cbc-md5:normaldes-cbc-crc:normal

13.}

14.说明：

15.QUNYING.LIU:是设定的realms。名字随意。Kerberos可以支持多个realms，会增加复杂度。大小写敏感，一般为了识别使用全部大写。这个realms跟机器的host没有大关系。

16.max_renewable_life=7d涉及到是否能进行ticket的renwe必须配置。

17.master_key_type:和supported_enctypes默认使用aes256-cts。由于，JAVA使用aes256-cts验证方式需要安装额外的jar包。推荐不使用。

18.acl_file:标注了admin的用户权限，需要用户自己创建。文件格式是

19.Kerberos_principalpermissions[target_principal][restrictions]

20.支持通配符等。最简单的写法是

21.*/admin@QUNYING.LIU*

22.代表名称匹配*/admin@QUNYING.LIU都认为是admin，权限是*。代表全部权限。

23.admin_keytab:KDC进行校验的keytab。后文会提及如何创建。

24.supported_enctypes:支持的校验方式。注意把aes256-cts去掉。

/etc/krb5.conf:包含Kerberos的配置信息。例如，KDC的位置，Kerberos的admin的realms 等。需要所有使用的Kerberos的机器上的配置文件都同步。这里仅列举需要的基本配置。详细介绍参考：krb5conf：http://web.mit.edu/~kerberos/krb5-devel/doc/admin/conf_files/krb5_conf.html

01.配置示例：

02.[logging]

03.default=FILE:/var/log/krb5libs.log

04.kdc=FILE:/var/log/krb5kdc.log

05.admin_server=FILE:/var/log/kadmind.log

06.[libdefaults]

07.default_realm=QUNYING.LIU

08.dns_lookup_realm=false

09.dns_lookup_kdc=false

10.ticket_lifetime=24h

11.renew_lifetime=7d

12.max_life=12h0m0s

13.forwardable=true

14.udp_preference_limit=1

15.[realms]

16.QUNYING.LIU={

17.kdc=server1:88

18.admin_server=server1:749

19.default_domain=DIANPING.COM

20.}

21.[appdefaults]

22.说明：

23.[logging]：表示server端的日志的打印位置

24.[libdefaults]：每种连接的默认配置，需要注意以下几个关键的小配置

25.default_realm=QUNYING.LIU默认的realm，必须跟要配置的realm的名称一致。

26.udp_preference_limit=1禁止使用udp可以防止一个Hadoop中的错误

27.[realms]:列举使用的realm。

28.kdc：代表要kdc的位置。格式是机器:端口

29.admin_server:代表admin的位置。格式是机器:端口

30.default_domain：代表默认的域名

31.[appdefaults]:可以设定一些针对特定应用的配置，覆盖默认配置。

32.初始化并启动：完成上面两个配置文件后，就可以进行初始化并启动了。

 

A.初始化数据库:在server1上运行命令。其中-r指定对应realm。

1.kdb5_utilcreate-rQUNYING>LIU-s

2.如果遇到数据库已经存在的提示，可以把/var/kerberos/krb5kdc/目录下的principal的相关文件都删除掉。默认的数据库名字都是principal。可以使用-d指定数据库名字。(尚未测试多数据库的情况)。

 

B.启动kerberos。如果想开机自启动，需要stash文件。

1./usr/local/sbin/krb5kdc

2./usr/local/sbin/kadmind

至此kerberos，搭建完毕。

 

测试kerberos，搭建完毕后，进行以下步骤测试Kerberos是否可用。

A. 进入kadmin在kadmin上添加一个超级管理员账户，需要输入passwd

1.kadmin.local

2.addprincadmin/admin

B. 在其它机器尝试通过kadmin连接,需要输入密码

1.kinitadmin/admin

2.kadmin

如果能成功进入，则搭建成功。

 

kerberos日常操作

 

管理员操作

 

登录到管理员账户: 如果在本机上，可以通过kadmin.local直接登录。其它机器的，先使用kinit进行验证。

1.kadmin.local

2.kinitadmin/admin

3.kadmin

增删改查账户:在管理员的状态下使用addprinc,delprinc,modprinc,listprincs命令。使用?可以列出所有的命令。

1.kamdin:addprinc-randkeyhdfs/hadoop1

2.kamdin:delprinchdfs/hadoop1

3.kamdin:listprincs命令

4.生成keytab:使用xst命令或者ktadd命令

5.kadmin:xst-k/xxx/xxx/kerberos.keytabhdfs/server1

6.用户操作

 

查看当前的认证用户:klist

1.认证用户:kinit-kt/xx/xx/kerberos.keytabhdfs/server1

2.删除当前的认证的缓存:kdestroy

 

 

google authenticator:

基于TOTP(Time-based One-time Password，基于时间的一次性密码)

TOTP（基于时间的一次性密码算法）是支持时间作为动态因素基于HMAC一次性密码算法的扩展。

http://tools.ietf.org/html/rfc6238

 

条件：

1）Prover与Verifier之间必须时钟同步；

2）Prover与Verifier之间必须共享密钥；

3）Prover与Verifier之间必须使用相同的时间步长

 

算法：

K 共享密钥

T 时间

T0 开始计数的时间步长

X 时间步长

 

　　TOTP = Truncate(HMAC-SHA-1(K, (T - T0) / X))

 

使用Google Authenticator的步骤：

 

1. 服务器端对每个用户生成一个唯一的密钥SecretKey。

2. 用户在手机上安装Google Authenticator。首次使用需要将密钥输入到Google Authenticator。可通过手动和扫描系统生成的二维码等两种方式输入密钥信息。

3. Google Authenticator每隔一段时间为系统自动生成一个新的密码。用户在输入口令前需先输入生成的动态验证码。

 

 

 

 

客户端实现

python实现：

01.#!/usr/bin/envpython

02.#-*-coding:utf-8-*-

03.importhmac,base64,struct,hashlib,time,sys,os

04. 

05.defget_hotp_token(secret,intervals_no):

06.key=base64.b32decode(secret)

07.msg=struct.pack(">Q",intervals_no)

08.h=hmac.new(key,msg,hashlib.sha1).digest()

09.o=ord(h[19])&15

10.h=(struct.unpack(">I",h[o:o+4])[0]&0x7fffffff)%1000000

11.returnh

12. 

13.defget_totp_token(secret):

14.returnget_hotp_token(secret,intervals_no=int(time.time())//30)

15. 

16.#Sec=str(sys.argv[1])

17.Sec='xxxxxxx'

18.validation_code=str(get_totp_token(Sec))

19.printvalidation_code

 

ruby实现：

01.#!/usr/bin/ruby

02. 

03.require'rubygems'

04.require'base32'

05.require'openssl'

06. 

07.int=30

08. 

09.now=Time.now.to_i/int

10.key=Base32.decode'xxxxxxxx'

11.sha=OpenSSL::Digest::Digest.new('sha1')

12. 

13.(-1..1).eachdo|x|

14.bytes=[now+x].pack('>q').reverse

15.hmac=OpenSSL::HMAC.digest(sha,key.to_s,bytes)

16.offset=hmac[-1]&0x0F

17.hash=hmac[offset...offset+4]

18. 

19.code=hash.reverse.unpack('L')[0]

20.code&=0x7FFFFFFF

21.code%=1000000

22. 

23.putscode

24.end

 

跳板机登录增加谷歌二次认证

 

Google Authenticator模块安装:

EPEL源安装： yum install libpam-google-authenticator

2.源码安装：

01.yuminstallmakegccpam-devel

02.#cd/tmp

03.#

04.#bunzip2libpam-google-authenticator-1.0-source.tar.bz2

05.#tarxflibpam-google-authenticator-1.0-source.tar

06.#cdlibpam-google-authenticator-1.0

07.#make

08.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-ogoogle-authenticator.ogoogle-authenticator.c

09.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-obase32.obase32.c

10.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-ohmac.ohmac.c

11.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-osha1.osha1.c

12.gcc-g-ogoogle-authenticatorgoogle-authenticator.obase32.ohmac.osha1.o-ldl

13.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-opam_google_authenticator.opam_google_authenticator.c

14.gcc-shared-g-opam_google_authenticator.sopam_google_authenticator.obase32.ohmac.osha1.o-lpam

15.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-odemo.odemo.c

16.gcc-DDEMO--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-opam_google_authenticator_demo.opam_google_authenticator.c

17.gcc-g-rdynamic-odemodemo.opam_google_authenticator_demo.obase32.ohmac.osha1.o-ldl

18.gcc-DTESTING--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden\

19.-opam_google_authenticator_testing.opam_google_authenticator.c

20.gcc-shared-g-opam_google_authenticator_testing.sopam_google_authenticator_testing.obase32.ohmac.osha1.o-lpam

21.gcc--std=gnu99-Wall-O2-g-fPIC-c-fvisibility=hidden-opam_google_authenticator_unittest.opam_google_authenticator_unittest.c

22.gcc-g-rdynamic-opam_google_authenticator_unittestpam_google_authenticator_unittest.obase32.ohmac.osha1.o-lc-ldl

23. 

24.#makeinstall

25.cppam_google_authenticator.so/lib64/security

26.cpgoogle-authenticator/usr/local/bin

设置Google Authenticator

 

运行/usr/local/bin/google-authenticator

会在当前帐号home目录下生成相关配置文件。

01.Doyouwantmetoupdateyour"~/.google_authenticator"file(y/n)y

02. 

03.https://www.google.com/chart?chs=200x200&;chld=M|0&cht=qr&chl=@server%3Fsecret%3DABCD12E3FGHIJKLMN

04.Yournewsecretkeyis:ABCD12E3FGHIJKLMN

05.Yourverificationcodeis98765432

06.Youremergencyscratchcodesare:

07.01234567

08.89012345

09.67890123

10.45678901

11.23456789

12. 

13.Doyouwanttodisallowmultipleusesofthesameauthentication

14.token?Thisrestrictsyoutooneloginaboutevery30s,butitincreases

15.yourchancestonoticeorevenpreventman-in-the-middleattacks(y/n)y

16. 

17.Bydefault,tokensaregoodfor30secondsandinordertocompensatefor

18.possibletime-skewbetweentheclientandtheserver,weallowanextra

19.tokenbeforeandafterthecurrenttime.Ifyouexperienceproblemswithpoor

20.timesynchronization,youcanincreasethewindowfromitsdefault

21.sizeof1:30mintoabout4min.Doyouwanttodoso(y/n)y

22. 

23.Ifthecomputerthatyouareloggingintoisn'thardenedagainstbrute-force

24.loginattempts,youcanenablerate-limitingfortheauthenticationmodule.

25.Bydefault,thislimitsattackerstonomorethan3loginattemptsevery30s.

26.Doyouwanttoenablerate-limiting(y/n)y

 

sshd配置加入谷歌认证模块：

01./etc/pam.d/sshd

02.#%PAM-1.0

03.authrequiredpam_google_authenticator.so

04.authincludesystem-auth

05.accountrequiredpam_nologin.so

06.accountincludesystem-auth

07.passwordincludesystem-auth

08.sessionoptionalpam_keyinit.soforcerevoke

09.sessionincludesystem-auth

10.sessionrequiredpam_loginuid.so

1.修改/etc/ssh/sshd_config

2.加入hallengeResponseAuthenticationyes

 

本地网络登录帐号跳过谷歌认证模块设置：

 

/etc/pam.d/sshd 增加

1.auth[success=1default=ignore]pam_access.soaccessfile=/etc/security/access-local.conf

2.authrequiredpam_google_authenticator.so

3.在/etc/security/access-local.conf文件中增加：

4.#GoogleAuthenticatorcanbeskippedonlocalnetwork

5.+:ALL:192.168.0.0/24

6.+:ALL:LOCAL

7.-:ALL:ALL

允许192.196.0.0网段的用户登录帐号时跳过谷歌认证步骤。

 

整个跳板机部署完毕后，用户如何登录对于很多开发人员完全未知，站在用户的角度我们进行了一次内部分享，对如何登录跳板机做了简要说明。

 

 

 

 

当然较于现在出现的比较高大上的堡垒机而言，运维跳板机的功能还是相当简单，只实现了用户信息和权限管理的统一，同时也只是事后的安全审计，目前还不能事前控制以避免人员的误操作。堡垒机一般支持的协议有图形（RDP/VNC/X11）、字符（SSH/TELNET）、文件（FTP/SFTP）和一些数据库协议（MySQL、Oracle）等等。除此之外，除了未实现高端的图形界面显示和一些比较人性化的交互功能外，目前大部分的功能（比如单点登录，审计，帐号管理，操作也可以定位到来源和人员）我们都是具有的。

转载于:https://blog.51cto.com/wameide/1607278