Лига Сисадминов

aid2022

5 часов назад

Настройка Multifactor.ru на примере входа в Debian 12 по ssh⁠⁠

Проверим проверить работу с проектом multifactor.ru, для примера сделаем вход с помощью Multifactor на консоль тестовой ВМ с Debian 12. Это не реклама!

Согласно описанию на сайте, это система многофакторной проверки подлинности для сайтов, Linux и Windows серверов, систем виртуализации и облаков, Exchange etc. Систему можно рассматривать как наш аналог Microsoft Authenticator. Может работать через push/смс/email/телегу etc. Проверим на деле.

Основные шаги:

1) регистрация на сайте multifactor.ru, настройки нового ресурса, приложение для телефона

2) правки конфигурации на ВМ

3) настройки для нового пользователя, проверка

Шаг 1 - регистрируемся на сервере multifactor.ru, получаем доступ в личный кабинет.

Личный кабинет:

Создадим в админке сайте новый ресурс для нашего сервера:

В настройках ресурса будет поля, которые потом пойдут в конфиги на сервере:

NAS Identifier
Shared Secret

Естественно, надо установить приложение на телефон, чтобы входить через push.

На шаге 2 устанавливаем libpam-radius-auth:

root@debian12:/home/user# apt update

root@debian12:/home/user# apt install libpam-radius-auth

На сайте есть документация, в которой есть нюансы, об этом ниже. Правим на Debian 3 файла.

/etc/pam_radius_ssh.conf - подключение radius от multifactor

root@debian12:/home/user# more /etc/pam_radius_ssh.conf

radius.multifactor.ru Значение_Shared_Secret 40

Права на файл, было/стало:

root@debian12:/home/user# ls -al /etc/pam_radius_ssh.conf

-rw-r--r-- 1 root root 58 May 31 18:28 /etc/pam_radius_ssh.conf

root@debian12:/home/user# chmod 0600 /etc/pam_radius_ssh.conf

root@debian12:/home/user# ls -al /etc/pam_radius_ssh.conf

-rw------- 1 root root 58 May 31 18:28 /etc/pam_radius_ssh.conf

Файл /etc/pam.d/sshd - pam radius для sshd, изменения:

#@include common-auth

auth sufficient pam_radius_auth.so

/etc/ssh/sshd_config - настройки демона sshd

...

#@include common-password

auth required pam_radius_auth.so client_id=Значение_NAS_Identifier conf=/etc/pam_radius_ssh.conf

3-ий файл для изменения /etc/ssh/sshd_config - настройки демона sshd

Тут важный момент - если не используем publickey, его настройки ставить не надо. У нас получилось так:

##PubkeyAuthentication yes

##AuthenticationMethods publickey,keyboard-interactive

AuthenticationMethods keyboard-interactive

KbdInteractiveAuthentication yes

Если у вас вход на сервер только по логину/паролю, то по документации с сайта получите проблему:

На шаге 3 настраиваем вход для пользователя. Мы ориентировались на пункт меню "Запросы доступа", где фиксируются попытки входа. Пользователь должен соответствовать логину на сервер. После настроек (приходит письмо со ссылкой на сайт для дальнейшей настройки) доступ заработал:

Итог: вход на сервер с Debian 12 через ssh по паролю+push через приложение заработал.

PS по бесплатным лицензиям после настройки получилось так - 1 пошла на регистрацию входа на сайт, 1 для собственно пользователя сервера, 1 в запасе.

Показать полностью 8

2

Timeweb.Cloud

2 дня назад

Лига Сисадминов

Бесплатный прокси к Docker Hub⁠⁠

Сегодня ночью Docker Hub закрыл доступ к своему сервису пользователям из России.

Мы подготовили бесплатный прокси, который возобновляет этот доступ.

Инструкция по ссылке ←

Показать полностью 1

Windows Linux Программа Компьютерная помощь Timeweb Прокси Россия

12

BernardHenriLevi

2 дня назад

Лига Сисадминов

СДЭК⁠⁠

Почитал тут в последнее время разное про ситуацию в СДЭКе. Понял, что стоит некоторые вещи объяснить.

За вкусными организациями наблюдают месяцами. Или годами. Изнутри. Потому что нужно добраться и до холодных бэкапов тоже. Потому что информация о текущей деятельность организации может стоить дороже, чем разовый выкуп или кратковременное прекращение ее деятельности. Потому что она становится точкой доступа к ее контрагентам. Потому что софт и железо импортные. Потому что с айтишниками сейчас как со всеми тут везде. Даже хуже.

Чуть подробнее по пунктам.

Во многих случаях бэкапы вас не спасут. Между бэкапом, который проходит валидацию системой резервного копирования и бэкапом, который вы сможете развернуть - принципиальная разница. На второе не проверяет почти никто. И очень зря. Потому что второе из первого делается легким движением руки. И, в лучшем случае, если вам повезет, восстановление из такого бэкапа займет у вас больше недели. Т.е. ровно столько времени, сколько потребуется саппорту крупнейшего разработчика систем резервного копирования, чтобы понять, что их поимели. Все это время вы будете лежать.

Далеко не всегда выгодно ломать. Очень часто выгоднее смотреть. Помните сказку про военный завод во время войны? Очень сомневаюсь, что что-то поменялось. Т.е. за ними внимательно наблюдают уже больше восьми месяцев. А реально, я думаю, дольше. Да и правильно. Сейчас намного выгоднее знать, что именно они делают, к каким сроками и в каких объемах. Чем разово их сломать. Это не считая переписки с разными интересными организациями.

Доверия к контрагенту, с которым вы давно и хорошо общаетесь, несравнимо больше, чем к письму или сообщению от не пойми кого. Вы ответите ему на вопросы, на которые никогда не ответите постороннему человеку. И спокойно откроете присланный пдф. Созданный специально под вас. Мы тоже тихонько за ними посматриваем одним глазом. Поэтому знаем, какие там у них были эпические срачи в начале СВО. Когда горящие негодованием громадяне бросились ломать все, до чего могли дотянуться. В результате чего несколько раз сорвали операции, которые тихо и аккуратно готовили против нас очень долго.

Воевать с натой, максимально плотно сидя на их софте и железе... непросто. Не раз и не два уже находились "ошибки", позволяющие десятилетиями удаленно и абсолютно незаметно управлять тем, что тут у нас стоит. Считать, что это были последние "ошибки", как мне кажется, не стоит. Т.е. никто, включая меня, не может в такой ситуации сказать, что защищен от подобного. Я прекрасно понимаю, что меня могут вынести в любой момент. Если не уже. Если вы до сегодняшнего дня не знали того, что написано в абзаце про бэкапы, то вас тем более.

В айтишку в последние годы вкатилось большое количество людей мало что в ней понимающих да и не сильно желающих что-то понимать. Судя по некоторым скринам, выложенным атакующими, этого сдэковского айтишника я бы постарался не взять в хелпдеск. Не говоря уже о реально айти. Но сейчас, за очень редкими исключениями, такое повсеместно везде. И даже сильно хуже.

HH

"Работа с программным обеспечением СЗИ от НСД, СКЗИ, DLP-систем, антивирус, Формирование УКЭП, деловая переписка, консультация сотрудников в части информационной безопасности, организация доступа на удаленные ресурсы ФНС."

И он может оказаться вашим контрагентом. У которого к вам будут вопросы и необходимые для ознакомления документы.

Показать полностью 1

[моё] IT СДЭК Взлом Объяснение

197

user9235317

3 дня назад

Лига Сисадминов

Ограничение на запись файлов на носитель с определённым расширением⁠⁠

Добрый день, подскажите, есть такая ситуация.
Есть рабочие станции под Интернет сегмент. Требуется заблокировать запись на носители файлов с определенными расширениями (exe, rar, avi и пр.)
Оставить только док, пдф и эксель. Есть ли какие-нибудь штатные средства Windows или хоть какой-то софт, на такие случаи?
Заранее спасибо.

Windows Информационная безопасность Вопрос Спроси Пикабу Текст

21

sem98

5 дней назад

Лига Сисадминов

Что скажете)⁠⁠

Попал в руки такой корпус, интересно мнение)
если кто в теме когда это было популярно и тп пишите, хоть узнаю что и как

Показать полностью 2

Корпус ПК Компьютер Юмор Длиннопост

24

slomalsya

8 дней назад

Лига Сисадминов

Домашний интернет ТТК, mikrotik, PPPoE⁠⁠

Интернет от ТТК, Роутер Mikrotik Hap AC2, RouterOS 7.1.5, настройки MTU по умолчанию, не трогал их. Подключается в интернет через PPPoE.

Обновил RouterOS до 7.2, интернет отвалился, не поднимается PPPoE. В описании обновления 7.2 (https://mikrotik.com/download/changelogs) pppoe - use default MTU of 1492.
Откатил на 7.1.5, интернет работает. В статусе PPPoE подключения Actual MTU=1480
Ставлю RouterOS 7.2. Меняю Max MTU=1480 в свойствах PPPoE. Не помогло.
Куда копать дальше?

[моё] Спроси Пикабу Вопрос Интернет Нужен совет Проблема Интернет-провайдеры Консультация Mikrotik ТТК Pppoe Текст

71

Ra3eR63

8 дней назад

Лига Сисадминов

Домашний интернет билайн, есть вопрос!⁠⁠

Ребята всем привет, дома стоит роутер asus ac5300, (с другими асусами ac2400,ax11000,ac88u как на мерлине, так и стоковой прошивке) есть проблема с работой домашнего интернета l2tp от билайна. Не понимаю в чём проблема, суть такая, если к примеру перезагрузить роутер или это произойдёт нечаянно из-за отключения электричества, начинается треш с работой интернета, часть пакетов теряется и все. К примеру, пинг до гугла то нормальный 10 из 10 отправлено и получено, то 5 из 10, то вообще 0 из 10. Пробовал играться с размером mtu в дефолте у асуса он 1500. Но как показала практика, снижение до 1400(не сразу, а с промежуточными значениями) ни на что не влияет. Спустя час-два всё само собой начинает нормально работать, до следующего отключения питания/перезагрузи. В чем может быть проблема? Билайн стандартно открещивается, что асус они официально не поддерживают и навязывают свой роутер. Поддержка асуса в логах ничего не нашли, сказали что всё нормально. С другими провайдерами на этих асусах не было таких проблем и нет, хоть 100 раз подряд перезагружай, всё отлично работает.

Интернет Спроси Пикабу Нужен совет Билайн Проблема Интернет-провайдеры Asus Вопрос Текст

47

alexaa17

10 дней назад

Лига Сисадминов

Интересное наблюдение⁠⁠

При подключении через Anydesk к удалённому компьютеру с мышью для левши, ваша мышь работает как обычно. Если открыть на удалённом компьютере ещё один удалённый рабочий стол, то мышь поменяет настройки. В одном окне будет обычной, в другом - для левши. Дикая путаница.

[моё] Компьютерная помощь Windows Компьютер Программа Rdp Текст

15

Популярные теги в сообществе: