Æ-DIR. Paranoide Benutzerverwaltung für Linux-/Unix-Server mit OpenLDAP. GUUG-Frühjahrsfachgespräch 2016 FFG 2016 //

Transkript

1 Æ-DIR Paranoide Benutzerverwaltung für Linux-/Unix-Server mit OpenLDAP GUUG-Frühjahrsfachgespräch 2016 STROEDER.COM - 1 -

2 Wer? Michael Ströder Freelancer Schwerpunkte Verzeichnisdienste (LDAP etc.), IAM Angewandte Verschlüsselung, PKI Freie Software STROEDER.COM - 2 -

3 Warum? (1) Infrastruktur wird komplexer Viele Systeme Verschiedene Sicherheitsanforderungen Ständige Veränderungen Verschiedene administrative Rollen (DevOps) Admins in Produktionsumgebung Entwickler Management / Auditoren STROEDER.COM - 3 -

4 Warum? (2) Striktes Need-to-know-Prinzip! Feingranulierte Autorisierung von Hosts/Diensten auf Benutzer/Gruppen/sudoers etc. Individuelle Authentifizierung der Hosts/Dienste Views durch ACLs Meines Wissens keine Lösung verfügbar => Æ-DIR - Authorized Entities Directory STROEDER.COM - 4 -

5 Software OpenLDAP web2ldap mit HTML/LDIF-Templates & Plugins Simple Web-Applikation für Password Self-Service Spezielle Admin-Skripte (command-line) Bulk-Initialisierung der Server Reporting LDAPS / StartTLS ohne Ausnahme! sssd und sudo-ldap als Client, andere NSS/PAM- Clients möglich STROEDER.COM - 5 -

6 Architektur LDAPS OpenLDAP provider custom tool web browser SSH client HTTPS httpd mod_fcgid mod_proxy FastCGI (Unix domain socket) HTTP (localhost) web2ldap webldappwd LDAPS, LDAPI LDAPI slapd mdb admin workstation person sync SMTP (STARTTLS) LDAPI SMTP relay SSH HR DB sssd Unixoid server sudo-ldap OpenLDAP consumer slapd mdb LDAPS (syncrepl) LDAPS STROEDER.COM - 6 -

7 Rollen Kein anonymer Zugriff oder Gastzugang! Æ admins may manage everything within ou=ae-dir and can read cn=monitor and cn=config Æ auditors may read everything within ou=ae-dir Zone admins may write anything within a zone Zone auditors may read anything within a zone Setup admins may write aehost/aeservice Users may read own entries, other members of own groups, change own password STROEDER.COM - 7 -

8 Anforderungen Schema Kompabilität zu NIS-LDAP (RFC 2377 & RFC2377bis) Kompabilität zu sudo-ldap Schema Unterstützung der gängigen PAM/NSS-Clients OpenLDAP-Constraints zur Vermeidung fehlerhafter Dateneingabe Meta-Daten (Status, Gültigkeitsdauer, Verwendungszweck, Ticket-Nr.) Auditierbarkeit (wer machte was) Eindeutige IDs für alle Entititäten Keine Wiederverwendung von IDs! STROEDER.COM - 8 -

9 Directory Information Tree (DIT) ou=ae-dir aeroot cn=global aezone cn=ae aezone cn=hr aezone cn=uid-blacklist namedobject cn=all-users posixgroup cn=example aezone employeenumber=foo1 aeperson departmentnumber=bar1 aedept uid=foo1 aeuser cn=example-srvgrp aesrvgroup cn=example-sudo aesudorule cn=example-grp-1 aegroup cn=example-admins aegroup cn=example-auditors aegroup host=example-srv aehost uid=system_example1 aeservice STROEDER.COM - 9 -

10 Entity Relationships aezone (child of) (child of) (child of) (child of) aeperson aeuser member aegroup aesetupgroups aelogstoregroups aelogingroups aevisiblegroups aesrvgroup aevisiblesudoers aesudorule aeproxyfor sudouser aeperson memberof (child of) or aesrvgroup (child of) or aesrvgroup aeservice aehost STROEDER.COM

11 SSH-Relay mit Autorisierung admin workstation ssh ProxyCommand looked up for <target> in local config ae-ldap consumer slapd mdb SSH sshd pam_sss nss_sss SSH proxy sssd target system wrapper script (ForceCommand) full shell for GW admins sudo-ldap LDAPS ssh TCP (SSH tunnel) nc <target>:22 Authz Check SSH key query by ae-uid ae_checkd STROEDER.COM

12 Fazit (1) ACLs in OpenLDAP sind zusätzliche Schranke gegen Privilege Escalation in Frontends Lokale Komponenten setzen Zugriffskontrolle durch (z.b. Dateizugriffsrechte) Separate Passwörter sind im Ernstfall zusätzliche Schranke Effektive Sicherheit hängt an Bereitschaft, die Mechanismen wirklich zu nutzen => Audits, Schulungen, individuelle Beratung STROEDER.COM

13 Fazit (2) Ggf. ist Notfall-Login-Mechanismus notwendig => individuelle Prozesse festlegen (Set-basierte) ACLs sind sehr komplex langsam (z.zt. einfach mehr Hardware) bei Änderungen Keine Löcher ins System hauen! Neue Ideen sollten immer ins Rollenmodell passen Automatisierte Tests STROEDER.COM

14 Ideen zu mehr Integration Machine deployment and network access control: Find out more about existing DHCP/DNS/RADIUS/PXE/TFTP schema mess before MIT Kerberos (multiple realms) Samba (multiple domains) Config management tied to aesrgvgroup/aehost: puppet node declaration ansible playbook STROEDER.COM

15 To-Do Performance-Verbesserungen! Æ-DIR Schema in Internet draft (experimental) ae_demon Leichtgewichtiger nearly-zero-conf NSS/PAM demon kennt DIT and schema => optimierte Suchen Teilautomatisierte Initialisierung SASL/EXTERNAL mit TLS Client-Zertifikaten (z.b. puppet certs) ae-dir-ui Verwendung OpenDJ..? STROEDER.COM

16 Question & Answers STROEDER.COM

17 Zwei-Faktor-Authentifizierung mit OpenLDAP, OATH-HOTP and Yubikey Axel Hoffmann 1&1 Gruppe Axel Hoffmann 1 / 13

18 Über mich Axel Hoffmann, M.Sc. Linux System Administrator 1&1 Mail & Media Dev. & Tech. GmbH 1&1 Gruppe Axel Hoffmann 2 / 13

19 Einführung Anforderungen Wenig Integrationsaufwand auf den Servern Effizienter Umgang mit den Tokens Kein mühseliges Abtippen von Codes Integration als Tastatur Bewusstes Auslösen des zweiten Faktors Kein Software-Token! LDAP-fähige Appliances und Web GUIs einbinden Hohe Sicherheitsanforderungen an Token-Rollout Nur der Besitzer sollte den Token nutzen können Keine vorbeschlüsselten Tokens Besitzer&Admins können Schlüssel nicht auslesen 1&1 Gruppe Axel Hoffmann 3 / 13

20 Einführung Yubikey Kleines USB-Stick-artiges Gerät Yubikey Standard: Komponente YubiKey OTP Zwei Slots für Generieren von OATH HOTPs Generieren von Yubico OTPs Statisches Passwort ausgeben Challenge-Response durchführen Arbeitet mit Standard-HID-Treibern/Modulen 2 Funktionen können genutzt werden (1 pro Slot) 1&1 Gruppe Axel Hoffmann 4 / 13

21 Einführung OATH Standards Initiative for Open Authentication HOTP HMAC-Based One-Time Password 1 TRUNC(SHA1(counter, psk)) mod 10 numdigit 1 numdigit = 6 or 8 1&1 Gruppe Axel Hoffmann 5 / 13

22 Implementierung Überblick Abbildung : Systemarchitektur mit OTP-Validierung 1&1 Gruppe Axel Hoffmann 6 / 13

23 Implementierung LDAP Structure person account oathtoken oathtokenparams pwdpolicy Abbildung : Vereinfachtes LDAP Entity-Relationship-Modell 1&1 Gruppe Axel Hoffmann 7 / 13

24 Token-Rollout Token-Rollout Prozess Abbildung : Ablauf des Yubikey-Rollouts 1&1 Gruppe Axel Hoffmann 8 / 13

25 Ende der Präsentation Gibt es Fragen zum Vortrag? 1&1 Gruppe Axel Hoffmann 9 / 13

26 Multi-Faktor-Authentifizierung Kombination von 2 oder mehr Faktoren: Etwas was du weißt: Geheimnis, Passwort, Passphrase, PIN, TAN Etwas was du besitzt: Token, SmartCard, Schlüssel Etwas was dich ausmacht: Iris, Fingerabdruck, Stimme, Tippgeschwindigkeit/-verhalten 1&1 Gruppe Axel Hoffmann 10 / 13

27 Rollout Dienst I python-yubico Bibliothek wurde genutzt Kein chaotisches Shell-Script welches CLI Kommandos aufruft Läuft auf extra gehärteter Rollout-Hardware Bindet Yubikey an HOTP Token Eintrag 1&1 Gruppe Axel Hoffmann 11 / 13

28 Rollout Dienst II Script-Sequenz: 1 Beide Slots löschen inkl. Passwort 2 Lese Yubikey Seriennummer 3 Einloggen in LDAP durch Yubikey Serial und Rollout-Passwort 4 USB Modus zu nur HID setzen, deaktiviere SmartCard 5 Setze Modus von Slot 1 zu HOTP und schreibe Schlüssel 6 Schütze beide Slots mit benutzerdefinierten Passwort 7 Schreibe Schlüssel ins LDAP und setze Zähler 0 8 Schalte NFC zum ungenutzten Slot 2 1&1 Gruppe Axel Hoffmann 12 / 13

29 Zukünftige Erweiterungen SmartCard Funktionalität durch ykneo-openpgp Applet Erweitere Rollout-Dienst & HW durch PGP-Agent Rollout stößt Generierung eines PGP Keys auf Yubikey an PGP Public Key wird an Token-Eintrag gebunden PGP Key anstelle des SSH Keys auf SSH Client 1&1 Gruppe Axel Hoffmann 13 / 13