开源SSH双因素登陆认证系统JXOTP了解一下(续)

此次宣布的版本得当企业应用,兼容碉堡机、LDAP等,今朝只支持linux,等哪天有光阴在完善windows。适用于云办事器等场景,支配及应用简单方便。同时可做为主机IDS的弥补防护,主机IDS终究是事中事后防护,JXOTP可以做为事前防护前进办事器的整体安然性。

回首本系列的第一篇文章:

开源SSH双身分登岸认证系统JXOTP懂得一下

支配

办事端支配:

# git clone https://github.com/jx-sec/jxotp.git

# cd jxotp

# pip install -r requirements.txt

# vim jxotp/settings.py

直接拉到最下面:

# 邮件设置 这里以阿里邮箱为例子

EMAIL_BACKEND = ‘django.core.mail.backends.smtp.EmailBackend’

EMAIL_USE_TLS = False

EMAIL_HOST = ‘smtp.mxhichina.com’ #非阿里邮箱需改动

EMAIL_PORT = 25

EMAIL_HOST_USER = ‘security@jxwaf.com’ # 用户名

EMAIL_HOST_PASSWORD = ‘*’ #密码

DEFAULT_FROM_EMAIL = ‘security@jxwaf.com’ #同用户名

# login setup

USERNAME = ‘admin’ # 办事端登岸用户名

PASSWORD = ‘123456’ # 办事端登岸密码

OTP_SECRET_KEY = ‘hellojxotp’ # OTP客户端与办事端对接的密钥

接下来初使化数据库,启动办事端 PS:例子为非正式支配,需正式支配请应用uwsgi+nginx:

# python manage.py makemigrations

# python manage.py migrate

# python manage.py runserver 0.0.0.0:8000

办事端支配停止。

客户端支配:

# vim jxotp_auth.py

只需改动两个参数的设置设置设备摆设摆设:

SERVER_API_URL = “http://1.1.1.1:8000/otp_auth“

OTP_SECRET_KEY = “hellojxotp”

此中 SERVER_API_URL 为你支配办事器的地址,如你办事器地址为 52.163.121.204,则这块应设置为http://52.163.121.204:8000/otp_auth

OTP_SECRET_KEY 为OTP客户端与办事端对接的密钥,需与办事端同等

# setenforce 0

# sh install_jxotp.sh

# vim /etc/pam.d/sshd

在最顶行添加:

auth optional pam_python.so jxotp_auth.py

到这里客户端和办事端就整个支配完了。

架构及应用阐明

架构阐明

一旦收集中断或者办事器非常,办事器的OTP验证将自动转为bypass模式,回归密码验证。默认办事端OTP验证为偏移3次,也便是说当前光阴两分钟内的OTP验证码都有效,前进易用性。

客户端OTP验证为自力验证,以是不与LDAP等验证冲突,验证掉败会将密码重置为空,导致密码验证掉败(办事器密码如果为空算你厉害)。

可经由过程设置设置设备摆设摆设办事器验证将碉堡机IP加入白名单,即兼容碉堡机。

可开启防暴力破解功能,例如OTP验证差错跨越10次,锁定客户端IP三十分钟,并邮件报警,可针对特定用户开启,也可设置特定IP开启,总之便是机动,满意大年夜部分利用处景。

应用阐明

1、用户治理

新建用户后点击发送邮件:

2、全局设置

default_enable 是否开启办事器自动注册:

默觉得true,当有客户端造访JXOTP SERVER时,自动注册,无需治理员手动添加。

default_global_check 是否开启所有用户检测:

默觉得false,当值为true时,所有登录的用户都必要进行OTP查验,为false时,仅设置了default_check_user的用户会开启OTP查验。

default_check_user 默认值为root:

当default_global_check为true时生效(不要在意为啥false时不樊篱该选项),设置必要开启OTP查验的系统用户名

default_white_ip 默认值为false:

当必要设置白名单IP或者已应用碉堡机时,可将响应IP添加进去,中心用逗号(,)隔开,如白名单IP为1.1.1.1,碉堡机IP为2.2.2.2,则值为 1.1.1.1,2.2.2.2。

black_check 默认值为false:

是否开启防暴力破解功能,默觉得false,关闭状态。

black_check_time 默认值为5:

暴力破解功能检测光阴,单位为分钟,5即检测5分钟内暴力破解的进击次数。

black_check_count 默认值为 10:

OTP掉败次数,10即掉败10次开启防暴力破解功能。

black_deny_time 默认值为 720:

检测到暴力破解进击后封禁IP的光阴,单位为分钟,720即封禁IP 12小时。

black_send_email 默认值为 ?:

检测到暴力破解进击后告警邮箱。

3、办事器治理

自定义设置会覆盖全局设置设置设备摆设摆设,其他同全局设置设置设备摆设摆设,可手动添加必要开启OTP功能的办事器,也可在全局设置设置设备摆设摆设开启default_enable选项,即自动注册办事器。

4、查看日志

Server ip 办事器IP;

Client ip 客户端IP;

Result OTP校验结果;

Message 具体信息;

Check user 登录的系统用户名;

time 登录校验的光阴;

User email 登任命户(OTP用户,非办事器系统用户)。

总结

支线义务完结撒花,JXWAF规复更新。

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包