Сервер аутентификации DevOpsProdigy Isolate — ваш безопасный доступ к серверам на удалёнке
Наш новый продукт доступен для бесплатного использования
Мы как люди с 12-летним опытом удалённого администрирования серверов хотим представить вам продукт, без которого удалёнка превращается в довольно опасное для вашего бизнеса мероприятие. Встречайте open-source версию инструмента, используемого в нашей компании в роли бастионного сервера. Называется он «Сервер аутентификации DevOpsProdigy Isolate».
Как это работает
1. Isolate добавляет одноразовый пароль и двухфакторную аутентификацию в SSH-логин. Для этого можно использовать оборудование YubiKey или приложение Google Authenticator. Даже если пользователь утерял пароль от своего аккаунта, без OTP-ключа злоумышленник не может его использовать и попасть на сервер Isolate. Для реализации двухфакторной авторизации используется pam-модуль.
2. Пользователи не получают прямого доступа к конечным серверам — соединение проходит через сервер Isolate, и система отслеживает и фиксирует всю их активность.
3. Легко управлять доступами к серверу аутентификации — добавлять\удалять пользователей и т.п.
Технически вам необходимо сгенерировать и поместить ключ сервера Isolate на конечные серверы, а ваши пользователи должны получить доступ регулярного уровня на сервер Isolate с sudo на ssh. И когда они захотят соединиться с конечным сервером, система выполнит ssh-команду. Далее ssh-клиент, запущенный от привилегированного пользователя, получит ключ, используя который, система, в свою очередь, получит доступ к нужному серверу.
Работает Isolate на CentOS 7 / Ubuntu 16.04 / Debian 9 setup. Нужен также Ansible 2.3+.
Наш продукт пригодится и в «мирное время»: с ним вы можете быть спокойны за свои серверы, даже если кто-то потеряет ноутбук с SSH-ключом. А когда сотрудник, имевший доступы, покидает компанию, вам не придётся спешно менять все пароли и ключи. Так что теперь удалённая работа в вашей компании, возможно, станет немного проще. И точно — много безопаснее. Удачи!
Ждем пожеланий, issue’s, PR в нашем github-репозитории. Для обсуждений и вопросов есть также telegram-чат и чат в Slack.