No_LABS

Come consulente IT sono alla costante ricerca di soluzione che possano aiutare me e i miei clienti ad avere una più efficiente gestione della loro infrastruttura IT. Ultimamente mi sono trovato a discutere con alcuni clienti riguardo le modalità sicure di accesso remoto ai loro dati o sistemi, e spesso si pensa a soluzioni complesse e costose da implementare, mentre,  di recente, sono state introdotte delle soluzioni facili e sicure, che permettono di gestire in maniera veloce e immediata anche soluzioni molto complesse.
Proprio di recente, un cliente mi ha chiesto di implementare un accesso “più sicuro” al loro server SSH / SFTP,  per questo ho testato la soluzione dell’accesso OTP (one time password) di Secure Pass.
Secure Pass è un sistema di gestione delle identità “on the cloud” fornito in modalità SaaS (Software as a Service). L’implementazione è stata veramente facile e veloce, per ciò ho deciso di fare un how-to essenziale che spiegasse come funziona.

I requisiti richiesti sono veramente minimi, ecco quelli usati per il mio test

We have very small pre-requisites for this test/tutorial i used:

• Una macchina Ubuntu Server, con Server SSH abilitato e funzionante.
• Se non è già installata, serve la libreria libpam-radius-auth.
  potete facilmente verificare la presenza di pam_radius_auth.so in /lib/security
  altrimenti basta un semplice apt-get install libpam-radius-auth
• un account Secure Pass  e lo stesso nome utente sulla macchina e sugli utenti Secure Pass.

Siamo Pronti:

Add new device

Come primo passo, accediamo all’interfaccia di amministrazione Secure Pass e aggiungiamo un nuovo device.
Come mostrato nella figura, dobbiamo solo settare l’ IP Pubblico del server, un fully qualified domanin name (FQDN) e la secret pass per l’autenticazione Radius. Dopo l’aggiunta avremo un piccolo riassunto con i dati del device appena aggiunto.

Auth conf

A questo punto, possiamo loggarci sul server e configurare l’autenticazione radius.
Prendete il vostro editor preferito e aprite /etc/pam_radius_auth.conf , e aggiungete alla fine del file le seguenti linee

radius1.secure-pass.net secret 3
radius2.secure-pass.net secret 3

Ovviamente la “secret” è la stessa che abbiamo impostato sul sito Secure Pass; Dopo questo punto dobbiamo configurare la PAM per gestire correttamente l’autenticazione.

Per farlo, bisogna editare il file /etc/pam.d/common-auth, e modificare/aggiungere le seguenti linee

auth<-->sufficient<---->pam_radius_auth.so.
auth<-->[success=1 default=ignore]<---->pam_unix.so nullok_secure try_first_pass

OTP app per Android

E’ tutto! siete pronti per loggarvi via SSH al vostro sistema usando la combinazione user + OTP , E’ stato facile, vero?
La password OTP può essere generata da un token fisico ( le classiche “chiavette”), oppure da un apposita App disponibile per iOS e per Android, come nella foto.

E’ di queste ore la notizia che , a causa di un incendio presso la server farm di Aruba ( aruba.it ) mezza italia , o almeno quella che usava i servizi aruba , sia ferma. La notizia arriva pochi giorni dopo un alto “disastro” , questa volta avvenuto al più grande fornitore di servizi Cloud, Amazon , che ha tenuto fermi servizi e siti per quasi sei ore , a causa di un guasto in uno dei suoi datacenter in Virginia. I casi sono estremamente diversi , il primo , Aruba, è un fornitore Italiano di servizi classificabile come “economico” ma molto usato , da privati ma anche da professionisti ed enti , il secondo è un fornitore globale di servizi , con datacenter sparsi in mezzo mondo , e quindi con livelli di sicurezza e ridondanza diversi. Tutti e due , però , hanno da insegnarci una cosa : bisogna essere preparati per il peggio , anche nel nostro piccolo. I servizi Internet sono oramai come il gas , l’acqua e la luce , siamo abituati a premere un interruttore e vedere la lampadina che si accende, e lo stesso ci aspettiamo quando andiamo a controllare la posta , o il nostro siito aziendale , la mancanza di connessione da subito fastidio, spesso si inveisce contro i fornitori , ma ci siamo mai fermati a pensare che lo stesso potrebbe accadere a noi ? ai nostri server e ai nostri dati ?
Un incendio, un allagamento , anche un semplice black-out possono compromettere il nostro lavoro di giorni e per giorni.
Bisogna valutare attentamente le nostre risorse e attrezzarci per il peggio. Come? Gli strumenti ci sono , dai backup programmati e archiviati in posti sicuri alla replicazione dei dati in diverse locazioni fisiche, al semplice UPS ( gruppo di continuità ) che puo veramente “salvarci la giornata” . Prima di agire , magari sull’onda dell’emozione , bisogna analizzare e pianificare gli interventi.
Per questo No_LABS ti propone il suo ITScreening , gratutito e senza impegno , per aiutarti a controllare e a pianificare la tua infrastruttura IT ed il futuro dei tuoi dati.

Contattaci oggi stesso, non aspettare!