Ana içeriğe geç

Linux Entegrasyonu

SecTrail MFA, Linux işletim sistemlerinde SSH, Sudo, Su ve Console erişimlerine çok faktörlü kimlik doğrulama ekler.

Desteklenen Servisler

SecTrail MFA PAM modülü ile aşağıdaki servislerde MFA aktif edilebilir. İstediğiniz servisleri seçerek sadece onlarda MFA zorunluluğu getirebilirsiniz:

🐧 SSH (Secure Shell)

  • Remote SSH bağlantılarına MFA
  • Key-based authentication ile kombinasyon
  • SFTP, SCP erişimlerine MFA

👤 Console Login

  • Fiziksel terminal girişlerine MFA
  • TTY console koruması
  • KVM erişim kontrolü

⚙️ Sudo (Privilege Escalation)

  • sudo komutlarına MFA ekleme
  • root erişimi için ek güvenlik
  • Kritik komutlar için MFA zorunluluğu

🔐 Su (Switch User)

  • su komutu ile kullanıcı değiştirmede MFA
  • root kullanıcıya geçişte ek güvenlik
SERVİS SEÇİMİ

Kurulum sırasında hangi servislerde MFA aktif olacağını seçebilirsiniz. Tüm servislerde veya sadece seçtiğiniz servislerde (örn: sadece SSH ve sudo) MFA zorunluluğu getirebilirsiniz.

Yapılandırma Adımları

SecTrail MFA Tarafı

  1. API Client: PAM modülünün kurulumunda girilmesi gereken API bilgileri için Agent tipinde bir API client oluşturulmalı
  2. Uygulama Profili: Linux PAM için faktör yapılandırması - API tipinde bir application profil oluşturulmalı
  3. Doğrulama Yöntemleri: Kullanılmak istenen doğrulama yöntemlerini (Push, SMS OTP, Soft OTP, vb.) uygulama profiline ekleyin

Linux Tarafı

Linux sisteme SecTrail MFA Pluggable Authentication Module (PAM) kurulumu yapılır. Bu modül, SSH, Sudo ve Console erişimlerine MFA ekler.

PAM Modülü Kurulum Sihirbazı

SecTrail MFA, interaktif bir kurulum scripti sağlar. Kurulum için:

# Kurulum scriptini çalıştırın
sudo ./sectrail-mfa-installer-multi.sh
1. Kurulum Başlangıç

Script çalıştırıldığında sistem bilgileri otomatik olarak tespit edilir:

SecTrail MFA PAM Installation Wizard
Multi-Platform Standalone Installer

System Information:
  OS: Linux
  Architecture: x86_64
  PAM library directory: /usr/lib64/security

✓ Files extracted
✓ Detected platform: linux-x86_64
✓ Found binary for your platform
✓ All required files present
2. API Server Yapılandırması

SecTrail MFA sunucu bağlantı bilgilerini girin:

Step 2: API Server Configuration

Enter your SecTrail MFA Server address (IP or domain)
Examples: 10.34.24.217, auth.example.com, sectrail.company.local
SecTrail MFA Server Address: [SecTrail MFA sunucu adresi]
Client ID: [API Client ID]
Client Secret: [API Client Secret]
Request timeout (seconds) [10]:
Enable debug mode? [y/N]: n

API Connection Test: Script otomatik olarak bağlantıyı test eder:

✓ OAuth token obtained successfully
  Token: eyJ0eXAiOiJKV1QiLCJh...
  Expires in: 43200s
3. Authentication Mode Seçimi

PAM modülü için kimlik doğrulama modunu seçin:

Step 3: Authentication Mode

1) Primary Authentication Mode
   • SecTrail API handles password + OTP authentication
   • If API fails/rejects, authentication fails (no local fallback)

2) Fallback Mode
   • Try SecTrail API first, fallback to local if unavailable

3) Two-Factor Authentication (2FA) Mode (Recommended)
   • Local password (1st factor) + SecTrail OTP (2nd factor)
   • BOTH must succeed for authentication

Select authentication mode [1-3]: 3

Authentication Mode Detayları:

1) Primary Authentication Mode

  • SecTrail API şifre + OTP doğrulamasını yapar
  • Kullanıcı: şifre girer, ardından OTP kodu girer
  • API her iki faktörü doğrular
  • API başarısız olursa veya reddederse, kimlik doğrulama başarısız olur (yerel fallback yok)
  • PAM yapılandırması: auth required pam_sectrail.so

2) Fallback Mode

  • Önce SecTrail API (şifre + OTP) denenir, API erişilemezse yerel şifreye düşer
  • Kullanıcı: şifre girer, ardından OTP kodu girer
  • API reddederse veya timeout olursa, yerel şifre kontrol edilir
  • PAM yapılandırması: auth sufficient pam_sectrail.so

3) Two-Factor Authentication (2FA) Mode (Önerilen)

  • Yerel şifre (1. faktör) + SecTrail OTP (2. faktör)
  • Kullanıcı: şifre girer (yerel kontrol), ardından OTP kodu girer (API kontrol)
  • Her ikisi de başarılı olmalı
  • PAM yapılandırması:
    auth requisite pam_unix.so
    auth required pam_sectrail.so

Önerilen Mod: 2FA Mode (3) - Yerel şifre kontrolü + SecTrail MFA OTP

4. Service Selection (Servis Seçimi)

Hangi servislerde MFA aktif olacağını seçin:

Step 4: Service Selection

• Enable for SSH (sshd)? [Y/n]: Y
• Enable for sudo? [Y/n]: Y
• Enable for su? [y/N]: n
• Enable for console login? [y/N]: n

Servis Açıklamaları:

  • SSH (sshd): Uzak SSH bağlantılarına MFA ekler
  • sudo: Sudo komutlarına MFA gereksinimi ekler
  • su: Root kullanıcıya geçişte MFA ister
  • console login: Fiziksel konsol girişlerine MFA ekler
5. Installation Summary (Kurulum Özeti)

Yapılandırma özetini gözden geçirin ve onaylayın:

Step 5: Installation Summary

Configuration:
  OAuth Token URL: https://10.34.24.217/oauth/token
  Auth API URL: https://10.34.24.217/api/auth/agent
  Client ID: ST-oydsjd
  Client Secret: 6N0zaq59wg***
  Token Cache: 3600s
  Timeout: 10s
  API Test: ✓ Passed

Authentication Mode:
  PAM Control: required

Services to configure:
  ✓ ssh
  ✓ sudo

Proceed with installation? [Y/n]: Y
6. Kurulum Tamamlandı
Step 6: Installing...

Creating directories...
✓ PAM module installed to /usr/lib64/security/pam_sectrail.so
✓ Configuration file created at /etc/security/pam_sectrail.conf
✓ Log file created at /var/log/pam_sectrail.log

Configuring SSH...
✓ SSH configured

Configuring sudo...
✓ sudo configured

═══════════════════════════════════════════════════════════
✓ Installation Complete!
═══════════════════════════════════════════════════════════

Önemli Not: Kurulum tamamlandıktan sonra mevcut terminal oturumunuzu açık tutun ve yeni bir terminal oturumunda test yapın!

Kurulum Sonrası Test

Kurulum tamamlandıktan sonra mutlaka test edin:

# Yeni bir terminal açın ve SSH testi yapın
ssh user@localhost
Password: ********          # Yerel şifrenizi girin
SecTrail MFA Code: 123456   # SecTrail MFA OTP kodunu girin
# Sudo testi
sudo whoami
[sudo] password for admin: ********    # Yerel şifrenizi girin
SecTrail MFA Code: 789012              # SecTrail MFA OTP kodunu girin
root

Backup ve Log Dosyaları

Kurulum scripti otomatik olarak backup dosyaları oluşturur:

Backup files created:
  • /etc/pam.d/sshd.stpam-bak
  • /etc/pam.d/sudo.stpam-bak
  • /etc/pam.d/su.stpam-bak

Logs:
  • Main log: /var/log/pam_sectrail.log
  • System logs: journalctl -u ssh -u sudo

Kaldırma (Uninstall)

Modülü kaldırmak için:

# PAM modülünü manuel olarak kaldırın
sudo rm /usr/lib64/security/pam_sectrail.so

# VEYA backup dosyalarından geri yükleyin
sudo cp /etc/pam.d/sshd.stpam-bak /etc/pam.d/sshd
sudo cp /etc/pam.d/sudo.stpam-bak /etc/pam.d/sudo

Desteklenen Kimlik Doğrulama Yöntemleri

Linux SSH, Sudo ve Console entegrasyonunda kullanılabilecek doğrulama yöntemleri:

  • LDAP Doğrulaması: Active Directory veya LDAP sunucusu ile kimlik doğrulama
  • Yerel Doğrulama: SecTrail MFA'nın yerel kullanıcı veritabanı ile doğrulama
  • LDAP+OTP: Tek ekranda şifre + OTP ile çift faktörlü doğrulama
  • Soft OTP: Mobil uygulama ile zamana dayalı tek kullanımlık şifre (SecTrail Authenticator)
  • SMS OTP: SMS ile gönderilen tek kullanımlık şifre
  • Mail OTP: Email ile gönderilen tek kullanımlık şifre
  • Anlık Bildirim Doğrulaması: Mobil uygulama üzerinden push notification ile onay (SecTrail Authenticator)
  • Onaylı OTP: Önceden onaylanmış OTP kodları ile doğrulama

Audit Logging

Tüm Linux MFA işlemleri loglanır:

  • /var/log/auth.log (Debian/Ubuntu)
  • /var/log/secure (RHEL/CentOS)
  • SecTrail MFA sunucusuna merkezi loglama
  • Syslog entegrasyonu
DİKKAT

PAM yapılandırmasında hata yaparsanız sisteme giriş yapamayabilirsiniz. Her zaman bir root shell açık tutun veya console erişimi olduğundan emin olun.