Veeam v11: Hardened Repository (Immutability) aggiungere MFA - pt.3

veeam-v11-add-mfa-hardened-repository-01

Se le policy aziendali non permettono la disabilitazione del login in SSH sugli Hardened Repository, è consigliato aggiungere MFA al sistema per rinforzare la sicurezza.

Questa protezione funziona solo se è utilizzato Veeam Backup & Replications v11 poichè le versioni precedenti richiedono SSH sulla porta 22 penalizzando la funzionalità.

Per aggiungere la multi-factor authentication (MFA) agli Hardened Repositories, DUO offre una soluzione economica adatta allo scopo.

veeam-v11-add-mfa-hardened-repository-02

 

Blog Serie

Veeam v11: Hardened Repository (Immutability) installazione - pt.1
Veeam v11: Hardened Repository (Immutability) configurazione - pt.2
Veeam v11: Hardened Repository (Immutability) aggiungere MFA - pt.3

 

Generare le chiavi dell'applicazione

Prima di procedere con la configurazione MFA nell'Hardened Repository, abbiamo bisogno di generare le chiavi dell'applicazione nel portale DUO.

Utilizzando il browser preferito, effettuare il login nel portale DUO come admin.

veeam-v11-add-mfa-hardened-repository-03

Posizionarsi nell'area Applications e cliccare sul bottone Protect an Application.

veeam-v11-add-mfa-hardened-repository-04

Scorrere la lista fino a trovare la voce UNIX Application e cliccare su Protect.

veeam-v11-add-mfa-hardened-repository-05

Sotto Details sono presenti le chiavi per configurare l'applicazione duo_login nel server Linux utilizzato come Hardened Repository.

veeam-v11-add-mfa-hardened-repository-06

 

Installare login_duo

Effettuare un login via SSH nell'Hardened Repository ed installare il package login_duo. Nell'esempio, l'Hardened Repository utilizza Linux Ubuntu come OS.

# sudo apt-get install -y login-duo

veeam-v11-add-mfa-hardened-repository-07

Editare il file /etc/security/login_duo.conf file per iniziare la configurazione.

# sudo vi /etc/security/login_duo.conf

veeam-v11-add-mfa-hardened-repository-08

Inserire le chiavi richieste per configurare l'applicazione duo_login. Impostazioni aggiuntive possono essere trovate nella tabella Duo Configuration Options.

  • Integration key
  • Secret key
  • API hostname

veeam-v11-add-mfa-hardened-repository-09

Il file /etc/security/login_duo.conf con le chiavi generate nel portale DUO.

veeam-v11-add-mfa-hardened-repository-10

 

Testare duo_login

Come utente normale, eseguire il seguente comando per testare duo_login. Se tutto funziona come previsto, si dovrebbe ricevere un link di enrollment con la richiesta di effettuare l'enroll.

# /usr/sbin/login_duo

veeam-v11-add-mfa-hardened-repository-11

Copiare il link nel browser preferito ed avviare la procedura di enrollment. Cliccare su Start Setup.

veeam-v11-add-mfa-hardened-repository-12

Specificare il dispositivo (è consigliato il telefono cellulare) da usare e cliccare su Continue.

veeam-v11-add-mfa-hardened-repository-13

Inserire il proprio numero di telefono e confermare. Cliccare su Continue.

veeam-v11-add-mfa-hardened-repository-14

Specificare la tipologia di telefono e cliccare su Continue.

veeam-v11-add-mfa-hardened-repository-15

Installare l'applicazione DUO nel telefono e cliccare I have Duo Mobile installed.

veeam-v11-add-mfa-hardened-repository-16

Utilizzando l'applicazione DUO installata nel telefono, effettuare la scansione del codice QR e cliccare su Continue quando fatto.

veeam-v11-add-mfa-hardened-repository-17

Una volta che il telefono è stato specificato, eseguire nuovamente il comando login_duo. Inserire il codice visualizzato nell'applicazione DUO installata nel telefono e premere Enter. Se si riceve il messaggio "Success. Loggin you in...", il processo di autenticazione funziona correttamente.

# /usr/sbin/login_duo

veeam-v11-add-mfa-hardened-repository-18

Per abilitare MFA per ogni login SSH nell'Hardened Repository, editare il file /etc/ssh/sshd_config.

# sudo vi /etc/ssh/sshd_config

veeam-v11-add-mfa-hardened-repository-19

Aggiungere la seguente riga (è richiesto OpenSSH 4.4 o successivo) e salvare il file:

ForceCommand /usr/sbin/login_duo

veeam-v11-add-mfa-hardened-repository-20

Per proteggere i login SSH, è necessario disabilitare le voci PermitTunnel e AllowTcpForwarding nel file sshd_config. Aggiungere queste due righe:

PermitTunnel no
AllowTcpForwarding no

veeam-v11-add-mfa-hardened-repository-21

Riavviare il servizio SSH.

# sudo systemctl start ssh

veeam-v11-add-mfa-hardened-repository-22

Quando si prova ad effettuare il login in SSH nel Server Linux, ora viene richiesto di inserire un codice generato dall'applicazione DUO installata nel telefono.

veeam-v11-add-mfa-hardened-repository-23

Se si vogliono ricevere richieste di login in modalità push al posto di inserire il codice, aggiungere la seguente riga nel file /etc/security/login_duo.conf:

autopush = yes

veeam-v11-add-mfa-hardened-repository-24

Sebbene sia consigliata la disabilitazione dei login in SSH, l'aggiunta dell'autenticazione MFA nell'Hardened Repository aggiunge un livello extra di sicurezza.

Oltra all'aggiunta della MFA per i login SSH, verificare che non ci sia un accesso diretto del proprio repository da Internet e bloccare qualsiasi traffico in ingresso non voluto. Il traffico in uscita di Internet dovrebbe essere permesso solo per DUO, Ubuntu (o la distribuzione utilizzata Linux) e i servizi NTP.

signature

5 Comments

  1. Fabio 14/05/2021
    • Paolo Valsecchi 21/05/2021
      • Fabio 22/05/2021
        • Paolo Valsecchi 23/05/2021
  2. Fabio 25/05/2021

Leave a Reply