30 років після свого впровадження, Secure Shell (SSH) залишається універсальним шлюзом для адміністрування, що робить його основною мішенню для атак методом перебору та переміщення в межах корпоративних середовищ. Для системних адміністраторів і архітекторів безпеки, які працюють під вагою регуляторних рамок, таких як SOC2, HIPAA і PCI-DSS, стандартні налаштування SSH є “відкритими дверима”, які представляють неприйнятний ризик. Доступність часто супроводжується ризиками безпеки, дозволяючи практики, такі як вхід під сутністю root та аутентифікація за паролем, які суттєво розширюють поверхню атаки. У Canonical ми зосередилися на розробці рішень для закриття цих прогалин, реалізуючи стратегію “глибокого захисту”, що узгоджує строгий контроль доступу з централізованим управлінням ідентичністю.

Як інтегрувати системи ідентифікації з SSH

Традиційно, аутентифікація в Linux покладалася на статичні облікові дані, збережені в /etc/passwd або неуправлювані ключі SSH, розкидані по файлах authorized_keys. В умовах підприємства це створює величезний «борг ідентичності», оскільки втрачені ключі залишаються на серверах довго після звільнення працівників, створюючи шляхи доступу без ведення обліку.

Щоб усунути цю уразливість, SSH слід інтегрувати безпосередньо з авторитетними джерелами ідентифікації. Для локальних середовищ системи, такі як System Security Services Daemon (SSSD), можуть слугувати мостом до Active Directory. Коли системи Ubuntu приєднуються до домену, SSSD відповідає за обмін аутентифікацією, перевіряючи квитки Kerberos і автоматично створюючи домашні каталоги. Це гарантує, що права доступу до SSH динамічно пов’язані з членством у групах Active Directory, миттєво відкликаючи доступ, коли користувач буде вимкнений у центральному каталозі.

Як можна використовувати IdPs для аутентифікації SSH сеансів?

Для організацій, які переходять на хмарні постачальники ідентичності (IdPs), такі як Microsoft Entra ID або Google Cloud IAM, ми розробили authd. Ця служба модернізує настільні комп’ютери та сервери на Linux, використовуючи модульну архітектуру брокера для сприяння аутентифікації проти хмарних IdPs.

Для SSH authd використовує OAuth 2.0 Device Authorization Grant (RFC 8628). Оскільки сеанси SSH часто відбуваються на безголових серверах без веб-браузера, authd ініціює пристрійний потік, де користувач аутентифікується через другорядний пристрій (такі як смартфон або ноутбук), використовуючи свої облікові дані IdP. Ця архітектура дозволяє Ubuntu реалізувати багатофакторну аутентифікацію (MFA) та умовні політики доступу, визначені на рівні IdP, для кожного входу в SSH. Централізуючи аутентифікацію SSH через authd, ми усуваємо залежність від статичних відкритих ключів, гарантуючи, що кожен запит на доступ генерує слід аудиту, пов’язаний з керованою хмарною ідентичністю.

Виконання вимог відповідності та криптографічних стандартів

Для суворо регульованих секторів дотримання контролю відповідності не є необов’язковим. Ubuntu Pro, комплексна підписка Canonical для безпеки з відкритим кодом, забезпечує інфраструктуру, необхідну для дотримання суворих стандартів, таких як NIST, DISA-STIG і PCI-DSS. Ці рамки передбачають суворі технічні засоби контролю щодо рівнів підтвердження аутентифікації та управління сеансами.

З Ubuntu Pro організації можуть автоматизувати застосування заходів безпеки та профілів жорсткості для всього парку машин. Це забезпечує, що криптографічні обміни та протоколи управління ключами, що лежать в основі підключень SSH, відповідають верифікованим стандартам, необхідним для аудитів. Ми надаємо інструменти, щоб гарантувати, що ваша безпека шлюзу не лише теоретична, а й відповідна за дизайном.

Чи можете ви реалізувати політики в масштабі?

Визначення безпечної конфігурації – це лише половина битви. Справжні виклики полягають у реалізації їх у тисячах вузлів. Завдяки ADsys адміністратори можуть розширювати об’єкти групових політик (GPO) до клієнтів Ubuntu.

Використовуючи ADsys, ми можемо забезпечити виконання політик безпеки та виконання скриптів під час запуску системи або входу. Це дозволяє командам безпеки централізовано визначати конфігурації SSH, такі як відключення root-доступу або обмеження версій протоколу, гарантуючи, що жодна машина не відхилятим від затвердженого базового рівня безпеки. Через централізоване управління привілеями ми також можемо надавати чи відкликати права sudo для конкретних груп AD, не редагуючи локальні файли, що суворо дотримується принципу найменших прав.

Контрольний список безпеки: посилення SSH

Для зменшення площі атаки вашої інфраструктури Ubuntu ми рекомендуємо реалізувати такі заходи посилення.

• Відключити root-доступ: встановіть PermitRootLogin no у sshd_config, щоб забезпечити відповідальність користувачів.
• Виключити паролі: встановіть PasswordAuthentication no та вимагайте аутентификацію за допомогою відкритого ключа або на базі IdP.
• Впровадити MFA: інтегруйте libpam-google-authenticator або використовуйте authd з Entra ID/Google IAM для багатофакторної перевірки.
• Обмежити мережевий доступ: використовуйте файрволи, щоб дозволити SSH-з’єднання лише з довірених IP-адрес або VPN.
• Активне моніторинг: налаштуйте Fail2Ban, щоб слідкувати за журналами аутентифікації та автоматично блокувати IP-адреси, що виявляють поведінку брутфорс-атак.
• Змінити стандартні порти: налаштуйте SSH для прослуховування на нестандартному порту (наприклад, 2222), щоб зменшити шум від автоматичних сканерів.

Читати більше в нашому білому папері з управління ідентичністю

У нашому нещодавно випущеному білому папері ми надаємо практичні схеми та технічні специфікації для архітектури, визначення та впровадження надійних контролів управління ідентичністю в усьому вашому серверному та робочому середовищі, незалежно від операційної системи.

Ми надаємо технічний аналіз сучасних парадигм ідентичності, включаючи детальні налаштування для управління доступом до хмарної та локальної інфраструктури Linux, а також практичні стратегії для безшовної та безпечної інтеграції з усталеними службами доменів AD. Крім того, документ пропонує детальний аналіз переваг та етапів впровадження використання сертифікатів SSH для безшовної, аудиторської аутентифікації SSH, виходячи за межі простого управління ключами.

Читати Ubuntu Enterprise Identity Management whitepaper.

Додаткова інформація

• ADSys documentation
• Authd documentation
• Authd for Entra ID on Snapcraft
• Authd for Google IAM on Snapcraft
• Authd for OIDC on Snapcraft