Amikor a 7.0-s újdonságairól olvastam, ez volt a számomra legizgalmasabb funkció. Biztos mindenki fejből tudja, hogy mit jelent a 2fa, vagy MFA, akinek ez újdonság, annak elmondom: amikor belépünk egy weboldalra, akkor tipikusan szükségünk lesz egy felhasználónévre és egy jelszóra. Ha nem ugyanazt a nevet és jelszót használjuk minden weboldalon, és kellően komplex a jelszavunk, akkor jók vagyunk. Ám ha valaki megtudja a jelszavunkat, akkor csak rajta múlik, hogy melyik általunk használt weboldalhoz fér hozzá.
Ebben segít a második faktor (2fa), vagy multi faktor (MFA). Belépéskor egy független eszközre is szükség lesz, tipikusan a mobilunkra. Így, ha a támadónak meg is van a facebook jelszavunk, nem tud belépni a mobilunk nélkül. Kezdetben sms-ben kaptuk az egyszer használatos jelszavakat, ám az már nem elég biztonságos, így létrejöttek a TOTP alkalmazások. Én nagyon régóta a google appját használom, már kereken 20 weboldalhoz generál egyszer használatos jelszavakat.
Mi kell a használatához?
Egy működő 7.0-s zabbix 🙂 Ha még régebbi verziót használsz, itt egy leírás a frissítésről.
Három egyszerű lépéssel tudjuk beállítani:
1. Users -> Authentication -> MFA settings
Pipáljuk be az Enable multi-factor authentication-t
Add-juk (bocs a szóviccért) hozzá az új szolgáltatót, a TYPE legyen TOTP, a Name tetszőleges, ez fog látszani az authentikator appban, szóval olyat adj neki, amiből egyértelműen kiderül, hogy melyik weboldaladról van szó. A Hash function legyen SHA-512, a Code length maradhat 6 karakteren, végül Add, és Update.
2. Users -> User groups
Hozzunk létre egy új csoportot, mondjuk Google MFA névvel. Adjuk hozzá a kívánt felhasználót, esetemben az Admin-t. A Multi-factor authentication-nál válasszuk ki a korábban létrehozott szervert, és Add-juk hozzá:
3. a zabbix weboldala szerint lépjünk ki, és jelentkezzünk be a korábban beállított jelszóval, ám én óvatosabb vagyok, ezért azt javaslom, hogy ne lépj ki, nyiss egy inkognitó ablakot, ott menj a zabbixod nyitó lapjára, és jelentkezz be. Ez azért jobb így, mert ha valamit elrontottál, még adminként bent vagy a rendes böngésződdel. Van lehetőséged korrigálni a hibát.
Miután megadtad a felhasználóneved és jelszavad, látni fogsz egy QR kódot. Nyisd meg a mobilodon az authentikátor appot, érintsd meg jobb alul a + gombot, és válaszd ki a QR-kód beolvasása lehetőséget. Mutasd meg a kamerának a monitoron látható QR kódot. Egy hangjelzést követően megjelenik a listádban a „zabbixsrv: Admin” (nálam, nálad az, amit megadtál), majd az alatta látható 6 számot írd be a böngészőbe, és ha mindent jól csináltál, már bent is vagy:
Ezt csak egyszer kell elvégezni, minden normális belépésnél csak ezt fogod látni:
Ennyire egyszerű az egész 😉
A zabbix támogat egy másik módszert is, a Duo Universal Prompt-ot is, ám én ezt nem ismerem, viszont a google féle appot régóta elégedetten használom. Lehet több TOTP beállításod is, ebben az esetben annyi csoportot kell létrehoznod, amennyit beállítottál.
Még egy apróság, az Users/Users menüpont alatt, ha kijelöljük esetünkben az Admin felhasználót, megjelenik egy Reset TOTP secret gomb alul, ha rákattintunk, belépéskor újra megjelenik a QR kód…
Szerintem ez arra lehet jó, ha elhagyod a mobilod, és a TOTP appod nem szinkronizál (a Google app igen), akkor így ki tudod zárni a régi eszközt, elkerülvén az esetleges visszaélést.