Jei manote, kad slaptažodžiu pagrįstas ir dviejų veiksnių autentifikavimas yra nepatikimas, apsvarstykite galimybę nustatyti aparatinės įrangos autentifikavimą sistemoje „Linux“ naudodami „YubiKey“.

Jei nerimaujate dėl vis didėjančios įsilaužimo grėsmės, nesate vieni. Nors autentifikavimo raginimų ir 2FA pakanka norint apsisaugoti nuo galimų įsilaužėlių, tūkstančiai pažeidimų vis tiek pavyksta kiekvieną dieną.

Vienas iš dažniausiai reklamuojamų autentifikavimo problemos sprendimų yra „YubiKey“. Bet kas yra „YubiKey“ ir kaip veikia aparatinės įrangos autentifikavimas? Ar galite apsaugoti savo „Linux“ kompiuterį naudodami „YubiKey“?

Kodėl naudoti YubiKey aparatinės įrangos autentifikavimui?

Yra daug skirtingų autentifikavimo tipų, įskaitant slaptažodžius, SMS autentifikavimą ir net autentifikavimo programos, kurias galite naudoti su savo telefonu. Vienas rečiau paplitęs tipas yra aparatinės įrangos autentifikavimas, kai naudojamas nedidelis papildinys, kad būtų išsiųstas autentifikavimo prieigos raktas, kai būsite paraginti.

instagram viewer

YubiKeys ir kiti techninės įrangos autentifikavimo įrenginiai turi keletą pranašumų, palyginti su kitais autentifikavimo įrenginiais. Juos lengviau naudoti, jie yra daug saugesni ir jų beveik neįmanoma pažeisti be prieigos prie fizinio YubiKey.

Darbo su Yubikey pradžia

Galite pradėti nuo YubiKey atlikdami tik kelis paprastus veiksmus. Pirmiausia turėtumėte naudoti viktoriną, kurią sukūrė Yubico norėdami nusipirkti geriausią „YubiKey“, atitinkantį jūsų įrenginio specifikacijas. Kai turėsite „YubiKey“ po ranka, galėsite jį naudoti kaip svetainių ir programų autentifikavimo įrenginį.

Jūs netgi galite jį naudoti norėdami autentifikuoti sudo ir SSH savo „Linux“ kompiuteryje. Paaiškinsime viską, ką reikia žinoti apie sudo/SSH suderinamo YubiKey pasirinkimą ir jo konfigūravimą autentifikavimui.

Vaizdo kreditas: Tony Webster/Flickr

Tinkamo „YubiKey“ pasirinkimas jūsų sistemai

Jei norite naudoti „YubiKey“ autentifikavimui „Linux“ kompiuteryje, yra keletas „YubiKey“, kurie išsiskiria geriausiomis galimybėmis. „YubiKey 5“ ir „YubiKey 5 NFC“ yra klasika, gerai veikianti su sistemomis su atitinkamai USB-A ir USB-C.

Jei norite naudoti „YubiKey“ su „Linux“ kompiuteriu ir „Android“ telefonu, turėtumėte apsvarstyti „YubiKey 5c NFC“. Jei turite „Linux“ kompiuterį ir „iPhone“, turėtumėte apsvarstyti „YubiKey 5ci“, nes jis palaiko USB-C ir „lightning“.

Svarbu pažymėti, kad YubiHSM serija nesuderinama su sudo autentifikavimu. Seni YubiKeys gali būti suderinami arba nesuderinami su sudo / SSH autentifikavimu, atsižvelgiant į jų specifines funkcijas.

Prieš pradėdami sudo arba SSH autentifikavimą, turite įdiegti YubiKey PPA. Atidarykite terminalą ir įveskite šias komandas, kad atnaujintumėte paketus ir įdiegtumėte YubiKey Authenticator bei YubiKey Manager:

sudo add-apt-repository ppa: yubico/stable
sudo apt-get atnaujinimas
sudo apt įdiegti yubikey-manager libpam-yubico libpam-u2f

Tada turėsite patikrinti, ar jūsų sistema yra paruošta dirbti su „YubiKey“. Terminale paleiskite šią komandą, kad patikrintumėte udev versiją:

sudo udevadm --versija

Terminalas grąžins numerį. Jei skaičius yra 244 arba didesnis, jūsų sistema yra suderinama su YubiKey. Šiuo atveju galite praleisti kitą veiksmą.

Priešingu atveju turėsite sukonfigūruoti savo sistemą. Turėtumėte naudoti šias komandas, kad patikrintumėte, ar udev įdiegtas jūsų kompiuteryje, o jei ne, ją įdiegti:

dpkg -s libu2f-udev
sudo apt install libu2f-udev

Tada patikrinkite, ar jūsų YubiKey U2F sąsaja atrakinta. Jei turite YubiKey NEO arba YubiKey NEO-n, įdėkite savo YubiKey, atidarykite YubiKey tvarkyklę ir eikite į Sąsajos. Įgalinti U2F sąsaja ir paspauskite Sutaupyti.

Nustatykite „YubiKey“ sudo autentifikavimui „Linux“.

sudo yra viena pavojingiausių komandų Linux aplinkoje. Tinkamose rankose jis suteikia įspūdingą prieigos lygį, kurio pakanka daugumai darbų atlikti. Netinkamose rankose sudo suteikiama šakninio lygio prieiga gali leisti piktybiniams vartotojams išnaudoti arba sunaikinti sistemą.

YubiKeys puikiai tinka sudo autentifikavimui, nes jų autentifikavimo beveik neįmanoma pakartoti be prieigos prie paties YubiKey. Daugelis „YubiKeys“ yra suderinami su sudo autentifikavimu, įskaitant 5 FIP seriją, raktų seriją, 4 FIP seriją, bio seriją, 5 seriją ir 4 seriją.

Pagal Yubico, pirmas žingsnis, kurį turite atlikti norėdami sukonfigūruoti sudo autentifikavimą, yra taisyklių failo sukūrimas. Jei jūsų udev versija yra 188 ar naujesnė, įdiekite naujas U2F taisykles iš GitHub ir nukopijuokite 70-u2f.taisyklės failą į /etc/udev/rules.d.

Jei jūsų udev versija yra senesnė nei 188, įdiekite pasenusias U2F taisykles iš GitHub ir nukopijuokite 70 metų senumo-u2f.taisyklės failą į /etc/udev/rules.d.

Jei jūsų udev versija yra 244 ar naujesnė arba sukūrėte reikiamus taisyklių failus, esate pasirengę susieti YubiKey su paskyra.

Įdėkite YubiKey į savo kompiuterį, atidarykite terminalą ir įveskite šias komandas, kad susietumėte savo YubiKey su paskyra:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

Palaukite keletą akimirkų, kol pradės mirksėti jūsų YubiKey indikatoriaus lemputė. Palieskite mygtuką „YubiKey“, kad patvirtintumėte įrenginio nuorodą.

Jei turite kitą YubiKey, turėtumėte pridėti jį kaip atsarginį įrenginį įvesdami šią komandą ir atlikdami tą patį procesą:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Galiausiai turėsite sukonfigūruoti komandą sudo, kad būtų reikalaujama YubiKey autentifikavimo. Turėtumėte pradėti įvesdami šią komandą, kad atidarytumėte sudo konfigūracijos failą:

sudo vi /etc/pam.d/sudo

Atidarę konfigūracijos failą, įklijuokite šią eilutę tiesiai po @įtraukti bendrą atpažinimą Eilutę sudo konfigūruoti, kad būtų reikalingas YubiKey autentifikavimas:

reikalingas autentifikavimas pam_u2f.so

Išsaugokite ir išeikite iš failo paspausdami Pabegti, spausdinant :wq, ir paspausdami Įeikite, bet terminalas turi būti atidarytas. Negalėsite atšaukti sudo autentifikavimo pakeitimų, jei terminalas bus uždarytas.

Atidarykite antrą terminalą ir paleiskite šią komandą atjungę YubiKey, tada įveskite slaptažodį:

sudo echo testavimas

Autentifikavimo procesas nepavyks. Įdėkite savo YubiKey ir iš naujo įveskite komandą bei slaptažodį. Kai pradeda mirksėti YubiKey indikatoriaus lemputė, palieskite YubiKey mygtuką. Tai turėtų patvirtinti komandą. Jei taip, jūsų YubiKey yra visiškai nustatytas sudo autentifikavimui.

Vaizdo kreditas: Håkan Dahlström/Flickr

Kaip nustatyti „YubiKey“ SSH autentifikavimui

Savo YubiKey taip pat galite naudoti SSH autentifikavimui! Kelios YubiKey serijos yra suderinamos su SSH, įskaitant 5 FIPS seriją, 5 seriją, 4 FIPS seriją ir 4 seriją. „YubiKey“ naudojimas ryšiams patvirtinti leis jums tai padaryti padaryti kiekvieną SSH prisijungimą daug saugesnį.

Patyręs vartotojas apibūdino geriausią „YubiKey“ nustatymo būdą GitHub. Jums reikės SSH 8.2 ar naujesnės versijos ir YubiKey su 5.2.3 ar naujesne programine įranga. Galite patikrinti savo OpenSSH versiją ir, jei reikia, ją atnaujinti naudodami šias komandas:

ssh -V
sudo apt atnaujinimas ir sudo apt atnaujinimas

Tada turėsite sukonfigūruoti SSH, kad priimtumėte „YubiKey“. Įveskite šią komandą atidarykite vi redaktorių ir redaguokite konfigūracijos failą:

sudo vi /etc/ssh/sshd_config

Pridėkite šią eilutę prie konfigūracijos failo, kad jūsų YubiKey būtų priimtas:

PubkeyAcceptedKeyTypes [email protected], [email protected]

Išsaugokite ir išeikite iš failo paspausdami Pabegti, spausdinant :wq, ir pataikyti Įeikite. Galiausiai iš naujo paleiskite SSH paslaugą naudodami šią komandą, kad jūsų nauja konfigūracija taptų aktyvi:

sudo service ssh paleiskite iš naujo

Galiausiai esate pasirengę sukurti raktų porą, kurią naudosite SSH autentifikavimui. Eikite į SSH katalogą ir sukurkite naują SSH raktą naudodami šias komandas:

cd home/username/.ssh
ssh-keygen -t ed25519-sk

Bus sukurti du failai ~/.ssh/ katalogas. Atminkite, kad jums gali tekti naudoti ecdsa-sk vietoj ed25519-sk jei jūsų sistema nesuderinama ir terminalas paragins, kad rakto registracija nepavyko.

Tada turėsite pridėti viešąjį raktą prie serverio naudodami šią komandą:

ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub vartotojo vardas@serveris

Taip pat turėtumėte pridėti save prie sudoers failo, kad išjungę root prisijungimą išlaikytumėte teises. Pasiekite failą ir atidarykite jį naudodami „Visudo“.

Neatidarykite sudoers failo naudodami įprastą teksto rengyklę.

Po eilute, kuri skaito šaknis ALL=(ALL: ALL) ALL, pridėkite šią eilutę:

vartotojo vardas ALL=(ALL: ALL) ALL

Atidaryk /etc/ssh/ssd_config failą ir pridėkite šias eilutes, kad išjungtumėte root prisijungimą ir prisijungimą pagal slaptažodį:

ChallengeResponseAuthentication noPermitRootLogin Nr

Galiausiai įveskite šią komandą, kad įkeltumėte raktą į SSH agentą seanso metu:

ssh-add ~/.ssh/id_ed25519_sk

Dabar galite naudoti „YubiKey“ SSH autentifikavimui. Kai būsite paraginti, turėsite įdėti YubiKey į kompiuterį ir bakstelėti mygtuką, kai indikatorius mirksi. Naudojant šį naują autentifikavimo metodą, SSH prieiga prie nuotolinio serverio bus žymiai saugesnė.

Kiti galimi YubiKey naudojimo būdai

Nėra jokių realių apribojimų, kaip galite naudoti „YubiKey“ savo „Linux“ sistemoje. Jei norite, kad jūsų kompiuteris būtų ypač saugus, apsvarstykite galimybę naudoti YubiKey šifravimui be slaptažodžio arba disko. Jei norite, netgi galite jį naudoti el. laiškams ir failams pasirašyti.

Apsaugokite savo „Linux“ sistemą naudodami „YubiKey“.

Nereikia nustoti naudoti „YubiKey“ SSH ir sudo autentifikavimui. Taip pat galite naudoti „YubiKey“, kad patvirtintumėte prieigą prie daugelio savo paskyrų visame žiniatinklyje. Geriausia tai, kad pradėti naudoti YubiKey 2FA yra paprastas procesas.