No_LABS

Come consulente IT sono alla costante ricerca di soluzione che possano aiutare me e i miei clienti ad avere una più efficiente gestione della loro infrastruttura IT. Ultimamente mi sono trovato a discutere con alcuni clienti riguardo le modalità sicure di accesso remoto ai loro dati o sistemi, e spesso si pensa a soluzioni complesse e costose da implementare, mentre,  di recente, sono state introdotte delle soluzioni facili e sicure, che permettono di gestire in maniera veloce e immediata anche soluzioni molto complesse.
Proprio di recente, un cliente mi ha chiesto di implementare un accesso “più sicuro” al loro server SSH / SFTP,  per questo ho testato la soluzione dell’accesso OTP (one time password) di Secure Pass.
Secure Pass è un sistema di gestione delle identità “on the cloud” fornito in modalità SaaS (Software as a Service). L’implementazione è stata veramente facile e veloce, per ciò ho deciso di fare un how-to essenziale che spiegasse come funziona.

I requisiti richiesti sono veramente minimi, ecco quelli usati per il mio test

We have very small pre-requisites for this test/tutorial i used:

• Una macchina Ubuntu Server, con Server SSH abilitato e funzionante.
• Se non è già installata, serve la libreria libpam-radius-auth.
  potete facilmente verificare la presenza di pam_radius_auth.so in /lib/security
  altrimenti basta un semplice apt-get install libpam-radius-auth
• un account Secure Pass  e lo stesso nome utente sulla macchina e sugli utenti Secure Pass.

Siamo Pronti:

Add new device

Come primo passo, accediamo all’interfaccia di amministrazione Secure Pass e aggiungiamo un nuovo device.
Come mostrato nella figura, dobbiamo solo settare l’ IP Pubblico del server, un fully qualified domanin name (FQDN) e la secret pass per l’autenticazione Radius. Dopo l’aggiunta avremo un piccolo riassunto con i dati del device appena aggiunto.

Auth conf

A questo punto, possiamo loggarci sul server e configurare l’autenticazione radius.
Prendete il vostro editor preferito e aprite /etc/pam_radius_auth.conf , e aggiungete alla fine del file le seguenti linee

radius1.secure-pass.net secret 3
radius2.secure-pass.net secret 3

Ovviamente la “secret” è la stessa che abbiamo impostato sul sito Secure Pass; Dopo questo punto dobbiamo configurare la PAM per gestire correttamente l’autenticazione.

Per farlo, bisogna editare il file /etc/pam.d/common-auth, e modificare/aggiungere le seguenti linee

auth<-->sufficient<---->pam_radius_auth.so.
auth<-->[success=1 default=ignore]<---->pam_unix.so nullok_secure try_first_pass

OTP app per Android

E’ tutto! siete pronti per loggarvi via SSH al vostro sistema usando la combinazione user + OTP , E’ stato facile, vero?
La password OTP può essere generata da un token fisico ( le classiche “chiavette”), oppure da un apposita App disponibile per iOS e per Android, come nella foto.

As IT Consultant I’m costantly looking for solutions that can help my customers (and me too!) to have a more proficient , effective IT management. Sometime they think they need complex and expensive solutions to protect and enhance the access to their data, but often the solution is easy and secure. At this time, a customer ask me to implement a “more secure” access to a SSH/SFTP server, so i tested the OTP solution provided by Secure Pass.
Secure Pass is a identity management system on the cloud and provided as a SaaS (Software as a Service). The implementation was extremely fast and easy, so i decided to make this essential how-to to explain how it works.

We have very small pre-requisites for this test/tutorial i used:

•  Ubuntu Server, with ssh enabled and working
• If not already installed, you need the libpam-radius-auth library
  (you can easily verify it to check for pam_radius_auth.so presence in /lib/security
  otherwhise simply do an apt-get install libpam-radius-auth)
• A Secure Pass account and a same-name user account on the server

Ok ready.

At first step, we log in to the SecurePass site to configure a new device.

Add new device

As showed in picture, we only need to set the public IP Address of the server, a fully qualified domain name (FQDN), and the secret password for the radius authentication.After completion we get a small recap of the already created device.
At this point, we can log in to the server to configure the radius authentication.
pick your favourite editor to open /etc/pam_radius_auth.conf and add, at the end of the file the following lines

radius1.secure-pass.net secret 3
radius2.secure-pass.net secret 3

auth conf file

Of course the “secret” is the same we have set up on the secure-pass site
beyond this point we need to configure the PAM to correct manage the authentication.

Pick up again an editor and open /etc/pam.d/common-auth

we have to setup two simple lines:

auth<-->sufficient<---->pam_radius_auth.so.
auth<-->[success=1 default=ignore]<---->pam_unix.so nullok_secure try_first_pass

That’s all! You are now ready to log in to your system using the combination user + OTP Password! Easy, isn’t ?

OTP app for android

OTP can be provided by a phisical token or, like in this case, by the dedicated Android App
as showed in the photo.

In azienda sentiamo spesso parlare di soluzioni “Opensource”, sistemi aperti o piattaforme libere; i termini si sovrappongono e si rincorrono, a volte correttamente, a volte generando anche qualche confusione. Perché un’azienda dovrebbe utilizzare software open source ? Quali sono i vantaggi reali e quali sono i rischi?

Vediamo di analizzare nel dettaglio i vari fattori che compongono questo mondo. Per quanto può riguardare il mondo IT “business” possiamo dividerlo in tre parti: le soluzioni Server, quelle Client e i Device.

Per quanto riguarda l’ultimo punto, è sotto gli occhi di tutti la crescita esponenziale delle soluzioni open in questi anni. Sono oramai migliaia i device e le periferiche che adottano questo tipo di soluzioni, dalla stampante con gestione remota via web server basata su schede linux embedded oppure ai NAS (Network Attached Storage) che gestiscono sistemi RAID multi disco e condivisioni “samba” compatibili con tutti i sistemi, per finire ai recenti telefoni cellulari che adottano Android, ma anche macchine fotografiche fino al navigatore che usiamo tutti i giorni in auto.

Per quanto riguarda le soluzioni Server, le soluzioni Open sono presenti da anni, sia per quanto riguarda il lato Storage che per quanto riguarda il lato Web/Database/ Datawarehouse o per i sistemi di BI; importante sottolineare che anche un big player come ad esempio IBM stanno sviluppando e migrando i loro prodotti di punta verso sistemi di questo tipo.

Le migliori soluzioni di Virtualizzazione “girano” spesso su questo tipo di piattaforme e più di recente si stanno sviluppando anche piattaforme “cloud” completamente Open.

Per quanto riguarda il lato client, qui viene il lato dolente.

Ad entrare in gioco è il fattore umano. La conoscenza scarsa, o spesso la pigrizia, tendono spesso ad avere un’idea sbagliata di cosa sia il mondo open e di come invece può contribuire a migliorare il nostro lavoro in termini di velocità, sicurezza e affidabilità.

Quando, discutendo, mi viene chiesto perchè al momento sono più i sistemi chiusi rispetto a quelli aperti rispondo spesso con questo paragone: per chi se lo ricorda, anni fa cominciarono a comparire le prime videocassette VHS e Betamax. Se il secondo nome non vi dice niente è perchè lo standard Betamax è letteralmente sparito. Betamax era uno standard nettamente superiore al VHS, e sebbene il primo standard derivi dal secondo, il Betamax è sparito perchè non ha saputo conquistare il mercato. Spesso non è lo standard migliore che vince, ma quello che riesce a conquistare il mercato.

Il motivo per cui quasi tutti noi utilizzano sistemi chiusi è perché sono già preinstallati nei computer che compriamo grazie ad accordi commerciali.

Effettivamente fino a poco tempo fa usare un sistema aperto era piuttosto macchinoso e richiedeva una certa dose di pazienza e tecnicità. Ma negli ultimi tempi molto è cambiato; grazie anche a distribuzioni come Ubuntu (preinstallato anche in parecchi Netbook) che hanno contribuito ad avvicinare molte persone a questo mondo. Le ultime versioni hanno un’usabilità ed una stabilità che ha convinto parecchie persone ad abbandonare per sempre il loro vecchio modo di lavorare e li ha spinti ad iniziare a divertirsi.

Per quanto riguarda il lato Azienda esiste un supporto a lungo termine, per cui anche gli amministratori di sistema non devono correre dietro agli aggiornamenti di versione.

La quasi totale assenza di virus e minacce di questo genere vanno a completare le caratteristiche di queste soluzioni. Se poi aggiungiamo che la tendenza futura a portare sempre di più applicazioni e dati sul cloud rendono praticamente indifferente la piattaforma d’uso, allora, perchè non passare a queste soluzioni?

A cura di Antonio Savarese e Luca Perencin

Fonte : DataManagerOnline Permalink