Çalıştığım centos sunucularda çekirdek versiyonu yükseltme ve indirme işlemi yapmak zorunda kaldım. Bununla ilgili buraya da not alayım istedim.
Öncelikle işlemi gerçekleştirmeden önce
$ uname -a
komutu ile çekirdek versiyonumuzu kontrol edelim.
Eğer çekirdek versiyonunu yükseltme işlemi yapacaksak.
$ sudo rpm -i çekirdekpaketi.rpm
$ sudo reboot
Bu iki komutu kullanarak işletim sistemimizi artık yeni çekirdekle kaldırabiliriz.
Eğer çekirdek versiyonumuzu indirme işlemi yapacaksak. Öncelikle sistemim ayağa kalktığı çekirdeği sistemden kaldırmamız gerekiyor. Ve bunun için paket isminden emin olmalıyız.
$ sudo rpm -qa | grep kernel
$ sudo rpm -e paket-adi.rpm
$ sudo rpm -i paket-adi.rpm
$ sudo reboot
Bu komutlardan sonra işletim sistemimizi artık eski versiyonda bir çekirdekle ayağa kaldırmış oluyoruz.
17 Mayıs 2018 Perşembe
7 Mayıs 2018 Pazartesi
Ssh kimlik doğrulamasının Tacacs+ ile entegrasyonu
Terminal erişim denetleyici erişim kontrol sistemi (TACACS), merkezi bir sunucu üzerinden ağa bağlı erişim kontrolü için uzaktan kimlik doğrulamayı ve yetkilendirme gibi hizmetleri sağlar. Tacacs bağlantı noktası olarak (tcp veya udp) 49.portu kullanır. Tacacs, bir istemcinin bir kullanıcı adı ve parola kabul etmesine ve bir tacacs kimlik doğrulaması sunucusuna, bazen de tacacs daemon veya tacacsd denen bir sorgu göndermesine izin verir. Kimlik doğrulama isteğinin kabul edilip edilmeyeceğini veya reddedilip reddedileceğini belirler.
Tacacs+ ve Radıus, daha yakın zamanda oluşturulmuştur. Tacacs+ tamamen yeni bir protokoldür ve öncülleri, Tacacs ve Xtacacs ile uyumlu değildir. Tacacs+, TCP'yi kullanır. Tacacs+ kimlik doğrulama, yetkilendirme ve muhasebe (AAA) mimarisini kullandığı için, protokolün bu ayrı bileşenleri ayrı sunucularda ayrıştırılabilir ve işlenebilir.
Ben debian üzerinde ssh kimlik doğrulamasını tacacs+ ile sağlamak istiyordum. Bunu için linux'da pam modulunu kullandım. PAM , servislere göre farklı kimlik denetleme yöntemleri belirleyebilmeyi sağlayan bir sistemdir. Bununla birlikte tacacs+ kullanmabilmek için iki paket yüklememiz gerekiyor.
$ sudo apt-get install libpam-tacplus
$ sudo apt-get install tacacs+
Ssh'ın pam modulunu kullanmasını istediğimiz için /etc/ssh/sshd_config dosyasında aşağıdaki değişiklikleri yapıyoruz:
UsePAM no
ChallengeResponseAuthentication no
"/etc/pam.d/" dizinini altına ve tacacs oluşturuyoruz. Ben şuan sadece kimlik doğrulaması için tacacs+ kullanmak istediğim için onunla ilgili yapılandırmaları yaptım.
/etc/pamd/sshd
auth include tacacs
@include common-password
/etc/pam.d/tacacs
auth [success=2 default=ignore] pam_succeed_if.so uid < 501
auth [success=done default=ignore] /lib/security/pam_tacplus.so debug server=serverip secret=secretkey login=plain timeout=2
auth required pam_unix.so user=admin #ben admin kullanıcısının aynı zamanda yereldeki parolasıyla giriş yapabilmesini istediğim için bu ayarı özel olarak ekledim.
Bu ayarları yaptıktan sonra sshd servisini yeniden başlatıyoruz.
$sudo services sshd restart
*****Bilmeniz gereken önemli bir nokta, ssh ile kimlik doğrulamasını tacacs'a yaptırırken, kullanıcılarınızın yerelde de tanımlı olması gerekiyor. Tacacs sadece kullanıcı adı ve parola gönderdiği için ssh ile bağlantı sağlandığında ssh bu kullanıcının kabuğunu, ev dizinini, kullanıcı id, grup id gibi beklediği cevapları alamaz. Bu yüzden de kullanıcın yerelde de tanımlı olması gerekir. Bunu aşmanın bazı yöntemleri varmış. Nss tabanlı yöntemler bunlara bakabilirsiniz.
Tacacs+ ve Radıus, daha yakın zamanda oluşturulmuştur. Tacacs+ tamamen yeni bir protokoldür ve öncülleri, Tacacs ve Xtacacs ile uyumlu değildir. Tacacs+, TCP'yi kullanır. Tacacs+ kimlik doğrulama, yetkilendirme ve muhasebe (AAA) mimarisini kullandığı için, protokolün bu ayrı bileşenleri ayrı sunucularda ayrıştırılabilir ve işlenebilir.
Ben debian üzerinde ssh kimlik doğrulamasını tacacs+ ile sağlamak istiyordum. Bunu için linux'da pam modulunu kullandım. PAM , servislere göre farklı kimlik denetleme yöntemleri belirleyebilmeyi sağlayan bir sistemdir. Bununla birlikte tacacs+ kullanmabilmek için iki paket yüklememiz gerekiyor.
$ sudo apt-get install libpam-tacplus
$ sudo apt-get install tacacs+
Ssh'ın pam modulunu kullanmasını istediğimiz için /etc/ssh/sshd_config dosyasında aşağıdaki değişiklikleri yapıyoruz:
UsePAM no
ChallengeResponseAuthentication no
"/etc/pam.d/" dizinini altına ve tacacs oluşturuyoruz. Ben şuan sadece kimlik doğrulaması için tacacs+ kullanmak istediğim için onunla ilgili yapılandırmaları yaptım.
/etc/pamd/sshd
auth include tacacs
@include common-password
/etc/pam.d/tacacs
auth [success=2 default=ignore] pam_succeed_if.so uid < 501
auth [success=done default=ignore] /lib/security/pam_tacplus.so debug server=serverip secret=secretkey login=plain timeout=2
auth required pam_unix.so user=admin #ben admin kullanıcısının aynı zamanda yereldeki parolasıyla giriş yapabilmesini istediğim için bu ayarı özel olarak ekledim.
Bu ayarları yaptıktan sonra sshd servisini yeniden başlatıyoruz.
$sudo services sshd restart
*****Bilmeniz gereken önemli bir nokta, ssh ile kimlik doğrulamasını tacacs'a yaptırırken, kullanıcılarınızın yerelde de tanımlı olması gerekiyor. Tacacs sadece kullanıcı adı ve parola gönderdiği için ssh ile bağlantı sağlandığında ssh bu kullanıcının kabuğunu, ev dizinini, kullanıcı id, grup id gibi beklediği cevapları alamaz. Bu yüzden de kullanıcın yerelde de tanımlı olması gerekir. Bunu aşmanın bazı yöntemleri varmış. Nss tabanlı yöntemler bunlara bakabilirsiniz.
Kaydol:
Kayıtlar (Atom)