Ja uzskatāt, ka uz paroli balstīta un divu faktoru autentifikācija nav uzticama, apsveriet iespēju iestatīt uz aparatūru balstītu autentifikāciju operētājsistēmā Linux, izmantojot YubiKey.

Jūs neesat viens, ja uztraucaties par arvien pieaugošajiem uzlaušanas draudiem. Lai gan autentifikācijas uzvednes un 2FA ir pietiekami, lai atvairītu lielāko daļu potenciālo hakeru, tūkstošiem pārkāpumu joprojām izdodas katru dienu.

Viens no visbiežāk reklamētajiem autentifikācijas problēmas risinājumiem ir YubiKey. Bet kas ir YubiKey un kā darbojas aparatūras autentifikācija? Vai varat nodrošināt savu Linux datoru, izmantojot YubiKey?

Kāpēc izmantot YubiKey aparatūras autentifikācijai?

Ir daudz dažādu autentifikācijas veidu, tostarp paroles, SMS autentifikācija un pat autentifikācijas lietotnes, kuras varat izmantot tālrunī. Viens retāk izplatīts veids ir aparatūras autentifikācija, kas ietver nelielas spraudņa ierīces izmantošanu, lai pēc uzaicinājuma nosūtītu autentifikācijas pilnvaru.

YubiKeys un citām aparatūras autentifikācijas ierīcēm ir dažas priekšrocības salīdzinājumā ar citiem autentifikatoriem. Tos ir vieglāk lietot, tie ir daudz drošāki, un tos ir gandrīz neiespējami apdraudēt bez piekļuves pašam fiziskajam YubiKey.

instagram viewer

Darba sākšana ar Yubikey

Varat sākt ar YubiKey, veicot tikai dažas vienkāršas darbības. Vispirms jums vajadzētu izmantot viktorīnu, ko sagatavojis Yubico lai iegādātos labāko YubiKey jūsu ierīces specifikācijām. Kad jums ir pieejams YubiKey, varat to izmantot kā vietņu un lietotņu autentifikācijas ierīci.

Jūs pat varat to izmantot, lai autentificētu sudo un SSH savā Linux datorā. Mēs izskaidrosim visu, kas jums jāzina par ar sudo/SSH saderīga YubiKey izvēli un tā konfigurēšanu autentifikācijai.

Attēla autors: Tonijs Vebsters/Flickr

Sistēmai piemērotā YubiKey izvēle

Ja vēlaties izmantot savu YubiKey autentifikācijai savā Linux datorā, ir dažas YubiKey, kas izceļas kā izcilas iespējas. YubiKey 5 un YubiKey 5 NFC ir klasika, kas labi darbojas ar sistēmām ar attiecīgi USB-A un USB-C.

Ja vēlaties izmantot savu YubiKey ar savu Linux datoru un Android tālruni, jums vajadzētu apsvērt YubiKey 5c NFC. Ja jums ir Linux dators un iPhone, jums vajadzētu apsvērt YubiKey 5ci, jo tas atbalsta USB-C un Lightning.

Ir svarīgi atzīmēt, ka YubiHSM sērija nav saderīga ar sudo autentifikāciju. Mantotie YubiKeys var būt vai nav saderīgi ar sudo/SSH autentifikāciju atkarībā no to īpašajām funkcijām.

Pirms sākt ar sudo vai SSH autentifikāciju, jums jāinstalē YubiKey PPA. Atveriet termināli un ievadiet šādas komandas, lai atjauninātu pakotnes un instalētu YubiKey Authenticator un YubiKey Manager:

sudo add-apt-repository ppa: yubico/stable
sudo apt-get atjauninājums
sudo apt instalēt yubikey-manager libpam-yubico libpam-u2f

Pēc tam jums būs jāpārbauda, ​​​​vai jūsu sistēma ir gatava darbam ar jūsu YubiKey. Terminālī palaidiet šo komandu, lai pārbaudītu savu udev versiju:

sudo udevadm --versija

Terminālis atgriezīs numuru. Ja numurs ir 244 vai lielāks, jūsu sistēma ir saderīga ar YubiKey. Šajā gadījumā varat izlaist nākamo darbību.

Pretējā gadījumā jums būs jākonfigurē sistēma. Lai pārbaudītu, vai jūsu datorā ir instalēts udev, un, ja tas nav instalēts, izmantojiet šādas komandas:

dpkg -s libu2f-udev
sudo apt instalēt libu2f-udev

Pēc tam pārbaudiet, vai jūsu YubiKey U2F saskarne ir atbloķēta. Ja jums ir YubiKey NEO vai YubiKey NEO-n, ievietojiet savu YubiKey, atveriet YubiKey pārvaldnieku un dodieties uz Saskarnes. Iespējot U2F interfeiss un nospiediet Saglabāt.

Iestatiet YubiKey sudo autentifikācijai operētājsistēmā Linux

sudo ir viena no visbīstamākajām komandām Linux vidē. Labajās rokās tas nodrošina iespaidīgu piekļuves līmeni, kas ir pietiekams, lai paveiktu lielāko daļu darbu. Nepareizajās rokās saknes līmeņa piekļuve, ko nodrošina sudo, var ļaut ļaunprātīgiem lietotājiem izmantot vai iznīcināt sistēmu.

YubiKeys ir lieliski piemēroti sudo autentifikācijai, jo to autentifikāciju ir gandrīz neiespējami replicēt bez piekļuves pašam YubiKey. Lielākā daļa YubiKeys ir saderīgi ar sudo autentifikāciju, tostarp 5 FIP sērija, atslēgu sērija, 4 FIP sērija, Bio sērija, 5 sērija un 4 sērija.

Saskaņā ar Yubico, pirmais solis, kas jums jāveic, lai konfigurētu sudo autentifikāciju, ir kārtulu faila izveide. Ja jūsu udev versija ir 188 vai jaunāka, instalējiet jaunos U2F noteikumus no GitHub un nokopējiet 70-u2f.noteikumi failu uz /etc/udev/rules.d.

Ja jūsu udev versija ir jaunāka par 188, instalējiet mantotos U2F noteikumus no GitHub un nokopējiet 70-veci-u2f.noteikumi failu uz /etc/udev/rules.d.

Ja jūsu udev versija ir 244 vai jaunāka vai esat izveidojis nepieciešamos kārtulu failus, esat gatavs saistīt savu YubiKey ar savu kontu.

Ievietojiet YubiKey savā datorā, atveriet termināli un ievadiet šādas komandas, lai saistītu YubiKey ar savu kontu:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

Pagaidiet dažus mirkļus, līdz sāk mirgot YubiKey indikators. Pieskarieties pogai savā YubiKey, lai apstiprinātu ierīces saiti.

Ja jums ir cits YubiKey, jums tas jāpievieno kā rezerves ierīce, ievadot šādu komandu un pabeidzot to pašu procesu:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Visbeidzot, jums būs jākonfigurē sudo komanda, lai pieprasītu YubiKey autentifikāciju. Lai atvērtu sudo konfigurācijas failu, jāsāk, ievadot šādu komandu:

sudo vi /etc/pam.d/sudo

Kad konfigurācijas fails ir atvērts, ielīmējiet šo rindiņu tieši zem @iekļaut kopējo autentifikāciju rinda, lai konfigurētu sudo, lai pieprasītu YubiKey autentifikāciju:

nepieciešama autentifikācija pam_u2f.so

Saglabājiet un izejiet no faila, nospiežot Bēgt, rakstot :wqun nospiežot Ievadiet, bet turiet termināli atvērtu. Ja terminālis tiks aizvērts, jūs nevarēsit atsaukt sudo autentifikācijā veiktās izmaiņas.

Atveriet otru termināli un palaidiet šo komandu ar atvienotu YubiKey, pēc tam ievadiet savu paroli:

sudo atbalss pārbaude

Autentifikācijas process neizdosies. Ievietojiet savu YubiKey un atkārtoti ievadiet komandu un paroli. Kad sāk mirgot YubiKey indikators, pieskarieties pogai uz sava YubiKey. Tam vajadzētu autentificēt komandu. Ja tā notiek, jūsu YubiKey ir pilnībā iestatīts sudo autentifikācijai.

Attēla autors: Håkan Dahlström/Flickr

Kā iestatīt YubiKey SSH autentifikācijai

Jūs varat izmantot savu YubiKey arī SSH autentifikācijai! Vairākas YubiKey sērijas ir saderīgas ar SSH, tostarp 5 FIPS sērija, 5 sērija, 4 FIPS sērija un 4 sērija. Izmantojot YubiKey, lai autentificētu savienojumus, jūs to varēsit padariet katru SSH pieteikšanos daudz drošāku.

Pieredzējis lietotājs ieskicēja labāko YubiKey iestatīšanas metodi GitHub. Jums būs nepieciešama SSH 8.2 vai jaunāka versija un YubiKey ar programmaparatūru 5.2.3 vai jaunāku versiju. Varat pārbaudīt savu OpenSSH versiju un, ja nepieciešams, atjaunināt to, izmantojot šādas komandas:

ssh -V
sudo apt atjauninājums un sudo apt jauninājums

Pēc tam jums būs jākonfigurē SSH, lai pieņemtu jūsu YubiKey. Ievadiet šādu komandu, lai atveriet vi redaktoru un rediģējiet konfigurācijas failu:

sudo vi /etc/ssh/sshd_config

Pievienojiet konfigurācijas failam šādu rindiņu, lai jūsu YubiKey tiktu pieņemts:

PubkeyAcceptedKeyTypes [email protected], [email protected]

Saglabājiet un izejiet no faila, nospiežot Bēgt, rakstot :wq, un sitiens Ievadiet. Visbeidzot, restartējiet SSH pakalpojumu ar šādu komandu, lai jūsu jaunā konfigurācija kļūtu aktīva:

sudo pakalpojums ssh restart

Visbeidzot, esat gatavs izveidot atslēgu pāri, ko izmantosit SSH autentifikācijai. Dodieties uz SSH direktoriju un izveidojiet savu jauno SSH atslēgu ar šādām komandām:

cd mājas/lietotājvārds/.ssh
ssh-keygen -t ed25519-sk

Mapē tiks izveidoti divi faili ~/.ssh/ direktoriju. Ņemiet vērā, ka jums var būt nepieciešams izmantot ecdsa-sk tā vietā ed25519-sk ja jūsu sistēma nav saderīga un terminālis norāda, ka atslēgas reģistrācija neizdevās.

Tālāk jums būs jāpievieno publiskā atslēga savam serverim ar šādu komandu:

ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub lietotājvārds@serveris

Jums vajadzētu arī pievienot sevi failam sudoers, lai saglabātu atļaujas pēc saknes pieteikšanās atspējošanas. Piekļūstiet failam un atveriet to, izmantojot visudo.

Neatveriet sudoers failu ar parastu teksta redaktoru.

Zem rindas, kas skan sakne VISI=(VISI: VISI) VISI, pievienojiet šādu rindu:

lietotājvārds VISI=(VISI: VISI) VISI

Atveriet /etc/ssh/ssd_config failu un pievienojiet šādas rindas, lai atspējotu root pieteikšanos un uz paroli balstītu pieteikšanos:

ChallengeResponseAuthentication noPermitRootLogin nr

Visbeidzot, ievadiet šo komandu, lai sesijas laikā ielādētu atslēgu SSH aģentā:

ssh-add ~/.ssh/id_ed25519_sk

Tagad varat izmantot savu YubiKey SSH autentifikācijai. Jums būs jāievieto YubiKey datorā, kad tas tiek prasīts, un pieskarieties pogai, kad indikators mirgo. Izmantojot šo jauno autentifikācijas metodi, SSH piekļuve jūsu attālajam serverim būs ievērojami drošāka.

Citi iespējamie YubiKey lietojumi

YubiKey izmantošanai savā Linux sistēmā nav nekādu reālu ierobežojumu. Ja vēlaties padarīt datoru īpaši drošu, apsveriet iespēju izmantot YubiKey šifrēšanai bez diska vai paroles. Jūs pat varat to izmantot, lai parakstītu e-pastus un failus, ja vēlaties.

Nodrošiniet savu Linux sistēmu ar YubiKey

Jums nav jāpārtrauc tikai YubiKey izmantošana SSH un sudo autentifikācijai. Varat arī izmantot savu YubiKey, lai autentificētu piekļuvi daudziem saviem kontiem tīmeklī. Labākā daļa ir tāda, ka darba sākšana ar YubiKey 2FA ir vienkāršs process.