30 років після свого впровадження Secure Shell (SSH) залишається універсальним шлюзом для адміністрування. Це робить його основною мішенню для атак з грубої сили та бічного руху в рамках підприємств. Для системних адміністраторів і архітекторів безпеки, які працюють під тягарем регуляторних рамок, таких як SOC2, HIPAA і PCI-DSS, стандартні конфігурації SSH є “відкритими дверима”, що представляють неприпустимий ризик. Як правило, зручність часто обходиться безпекою, дозволяючи практики, такі як вхід через root та автентифікація паролем, що значно розширює поверхню атаки. Canonical зосереджує увагу на розробці рішень для закриття цих прогалин, реалізуючи стратегію “глибокого захисту”, яка поєднує строгий контроль доступу з централізованим управлінням ідентичністю.

Поєднання систем ідентичності з SSH

Традиційно автентифікація в Linux покладалася на статичні облікові дані, збережені в /etc/passwd або неуправляємими SSH-ключами, розкиданими по файлах authorized_keys. В умовах підприємства це створює величезний “борг ідентичності”, де залишкові ключі залишаються на серверах ще після того, як працівники залишили компанію, створюючи шляхи тіньового доступу.

Щоб усунути цю вразливість, SSH слід інтегрувати безпосередньо з авторитетними джерелами ідентичності. Для локальних середовищ системи, такі як System Security Services Daemon (SSSD), можуть слугувати мостом до Active Directory. Коли системи Ubuntu приєднуються до домену, SSSD здійснює обмін автентифікації, перевіряючи квитки Kerberos і автоматично створюючи домашні каталоги. Це забезпечує динамічне зв’язування прав доступу SSH з членством у групах Active Directory, моментально відкликаючи доступ, коли користувач відключається в центральному каталозі.

Як використовувати IdPs для автентифікації сеансів SSH?

Для організацій, що переходять на хмарні провайдери ідентичності (IdPs), такі як Microsoft Entra ID або Google Cloud IAM, ми розробили authd. Ця служба модернізує робочі станції та сервери Linux, використовуючи модульну архітектуру брокера для спрощення автентифікації через хмарні IdPs.

Для SSH authd використовує OAuth 2.0 Device Authorization Grant (RFC 8628). Оскільки сеанси SSH часто відбуваються на “голих” серверах без веб-браузера, authd ініціює потокове авторизаційне підключення, де користувач автентифікується через додатковий пристрій (наприклад, смартфон чи ноутбук) із використанням облікових даних IdP. Ця архітектура дозволяє Ubuntu впроваджувати багатофакторну автентифікацію (MFA) та політики умовного доступу, визначені на рівні IdP, для кожного входу до SSH. Централізуючи автентифікацію SSH через authd, ми усуваємо залежність від статичних публічних ключів, забезпечуючи, щоб кожен запит на доступ генерував аудиторський слід, що пов’язаний з керованою хмарною ідентичністю.

Відповідність вашим вимогам з безпеки та криптографії

Для жорстко регульованих секторів задоволення контролю за відповідністю не є опціональним. Ubuntu Pro, всебічна підписка Canonical для безпеки з відкритим кодом, забезпечує інфраструктуру, необхідну для задоволення строгих стандартів, таких як NIST, DISA-STIG та PCI-DSS. Ці рамки вимагають ригористичних технічних контролів щодо рівнів підтвердження автентифікації та управління сеансами.

З Ubuntu Pro організації можуть автоматизувати застосування стандартів безпеки та профілів захисту на всіх своїх пристроях. Це забезпечує, що криптографічні обміни та протоколи управління ключами, що лежать в основі підключень SSH, відповідають валідаційним стандартам, необхідним для аудитів. Ми надаємо засоби для забезпечення того, щоб безпека ваших шлюзів була не просто теоретичною, а відповідала вимогам дизайну.

Чи можете ви забезпечити політики в масштабах?

Визначення безпечної конфігурації — лише половина справи. Реалізація її на тисячах вузлів є справжнім викликом. З ADsys адміністратори можуть розширити Об’єкти групової політики (GPO) на клієнтів Ubuntu.

За допомогою ADsys ми можемо забезпечити реалізацію політик безпеки та виконання сценаріїв під час запуску системи або входу в систему. Це дозволяє командам безпеки централізовано вимагати конфігурації SSH, такі як заборона вхідних даних root або впровадження версій протоколу, забезпечуючи, що жоден пристрій не відхиляється від схваленого базового рівня безпеки. Завдяки централізованому управлінню правами привілею, ми також можемо надавати або відкликати права sudo для конкретних груп AD без ручного редагування локальних файлів, строго дотримуючись принципу найменшого привілею.

Контрольний список безпеки: зміцнення SSH

Щоб зменшити поверхню атаки вашої інфраструктури Ubuntu, рекомендуємо впровадити наступні заходи безпеки.

• Вимкніть вхід root: налаштуйте PermitRootLogin no в sshd_config для забезпечення відповідальності користувача.
• Виключіть паролі: налаштуйте PasswordAuthentication no та вимагайте автентифікацію за допомогою публічних ключів або на основі IdP.
• Забезпечте MFA: інтегруйте libpam-google-authenticator або використовуйте authd з Entra ID/Google IAM для багатофакторної перевірки.
• Обмежте мережевий доступ: використовуйте брандмауери для дозволу SSH з’єднань лише з надійних IP-адрес або VPN.
• Активне моніторинг: налаштуйте Fail2Ban для моніторингу журналів автентифікації та автоматичного заборони IP-адрес, що демонструють поведінку грубої сили.
• Змініть стандартні порти: налаштуйте SSH для прослуховування на нестандартному порту (наприклад, 2222), щоб зменшити шум від автоматизованих сканерів.

Дізнайтеся більше в нашому білому документі з управління ідентичністю

У нашому новому білому документі ми надаємо дієві плани та технічні специфікації для архітектури, визначення та реалізації надійних контролів управління ідентичністю на всіх ваших серверах та робочих станціях, незважаючи на операційну систему.

Ми проводимо технічний огляд сучасних парадигм ідентичності, включаючи детальні конфігурації для керування доступом до хмарної та локальної Linux-інфраструктури, а також практичні стратегії для безпроблемної та безпечної інтеграції з існуючими службами домену AD. Крім того, документ пропонує детальний аналіз переваг та етапів впровадження використання сертифікатів SSH для безперешкодної, підзвітної автентифікації SSH, що виходить за межі простого управління ключами.

Прочитайте білий документ з управління ідентичністю Ubuntu Enterprise.

Продовження читання

• Документація ADSys
• Документація Authd
• Authd для Entra ID на Snapcraft
• Authd для Google IAM на Snapcraft
• Authd для OIDC на Snapcraft