Če se vam zdi preverjanje pristnosti na podlagi gesla in dvofaktorsko nezanesljivo, razmislite o nastavitvi preverjanja pristnosti na podlagi strojne opreme v sistemu Linux z uporabo YubiKey.

Niste sami, če vas skrbi vedno večja grožnja vdorov. Medtem ko pozivi za preverjanje pristnosti in 2FA zadostujejo, da preprečijo večino morebitnih hekerjev, je na tisoče vdorov še vedno uspešnih vsak dan.

Ena najpogosteje oglaševanih rešitev za težavo s preverjanjem pristnosti je YubiKey. Toda kaj je YubiKey in kako deluje preverjanje pristnosti strojne opreme? Ali lahko zaščitite svoj računalnik z Linuxom z YubiKey?

Zakaj uporabljati YubiKey za preverjanje pristnosti strojne opreme?

Obstaja veliko različnih vrst preverjanja pristnosti, vključno z gesli, preverjanjem pristnosti SMS in celo aplikacije za preverjanje pristnosti, ki jih lahko uporabljate s telefonom. Ena manj pogosta vrsta je preverjanje pristnosti strojne opreme, ki vključuje uporabo majhne vtičnične naprave za pošiljanje žetona za preverjanje pristnosti ob pozivu.

YubiKeys in druge naprave za preverjanje pristnosti strojne opreme imajo nekaj prednosti pred drugimi napravami za preverjanje pristnosti. So enostavnejši za uporabo, veliko bolj varni in jih je skoraj nemogoče ogroziti brez dostopa do samega fizičnega ključa YubiKey.

Kako začeti uporabljati Yubikey

Z YubiKey lahko začnete v le nekaj preprostih korakih. Kot prvi korak bi morali uporabiti kviz, ki ga je pripravil Yubico da kupite najboljši YubiKey za specifikacije vaše naprave. Ko imate YubiKey pri roki, ga lahko uporabite kot napravo za preverjanje pristnosti za spletna mesta in aplikacije.

Uporabite ga lahko celo za preverjanje pristnosti sudo in SSH v vašem računalniku Linux. Razložili vam bomo vse, kar morate vedeti o izbiri YubiKeyja, združljivega s sudo/SSH, in njegovem konfiguriranju za preverjanje pristnosti.

Avtorstvo slike: Tony Webster/Flickr

Izbira pravega YubiKeyja za vaš sistem

Če želite uporabiti svoj YubiKey za preverjanje pristnosti v računalniku z Linuxom, obstaja nekaj YubiKeyjev, ki izstopajo kot vrhunske možnosti. YubiKey 5 in YubiKey 5 NFC sta klasiki, ki dobro delujeta s sistemi z USB-A oziroma USB-C.

Če želite svoj YubiKey uporabljati z računalnikom Linux in telefonom Android, razmislite o YubiKey 5c NFC. Če imate računalnik z Linuxom in iPhone, razmislite o YubiKey 5ci, ker podpira USB-C in Lightning.

Pomembno je omeniti, da serija YubiHSM ni združljiva s preverjanjem pristnosti sudo. Legacy YubiKeys so lahko združljivi ali pa tudi ne z avtentikacijo sudo/SSH, odvisno od njihovih posebnih funkcij.

Preden začnete s preverjanjem pristnosti sudo ali SSH, morate namestiti YubiKey PPA. Odprite terminal in vnesite naslednje ukaze, da posodobite svoje pakete in namestite YubiKey Authenticator in YubiKey Manager:

sudo add-apt-repository ppa: yubico/stable
sudo apt-get posodobitev
sudo apt namestite yubikey-manager libpam-yubico libpam-u2f

Nato boste morali preveriti, ali je vaš sistem pripravljen za delo z vašim YubiKey. Zaženite naslednji ukaz v terminalu, da preverite svojo različico udev:

sudo udevadm --različica

Terminal bo vrnil številko. Če je številka 244 ali višja, je vaš sistem združljiv z YubiKey. V tem primeru lahko naslednji korak preskočite.

V nasprotnem primeru boste morali konfigurirati sistem. Uporabite naslednje ukaze, da preverite, ali je udev nameščen v vašem računalniku – in da ga namestite, če ni:

dpkg -s libu2f-udev
sudo apt namestite libu2f-udev

Nato preverite, ali je vmesnik U2F vašega YubiKeyja odklenjen. Če imate YubiKey NEO ali YubiKey NEO-n, vstavite svoj YubiKey, odprite YubiKey Manager in se pomaknite do Vmesniki. Omogoči U2F vmesnik in pritisnite Shrani.

Nastavite YubiKey za avtentikacijo sudo v sistemu Linux

sudo je eden najnevarnejših ukazov v okolju Linux. V pravih rokah zagotavlja impresivno raven dostopa, ki zadostuje za opravljanje večine opravil. V napačnih rokah lahko korenski dostop, ki ga ponuja sudo, zlonamernim uporabnikom omogoči izkoriščanje ali uničenje sistema.

YubiKeys so odlični za avtentikacijo sudo, ker je njihovo avtentikacijo skoraj nemogoče ponoviti brez dostopa do samega YubiKeya. Večina ključev YubiKeys je združljivih s preverjanjem pristnosti sudo, vključno s serijami 5 FIP, serijami ključev, serijami 4 FIP, serijami Bio, serijami 5 in serijami 4.

Po navedbah Yubico, je prvi korak, ki ga morate narediti za konfiguracijo preverjanja pristnosti sudo, ustvarjanje datoteke s pravili. Če je vaša različica udev 188 ali novejša, namestite nova pravila U2F iz GitHub in kopirajte 70-u2f.pravila datoteko v /etc/udev/rules.d.

Če je vaša različica udev pod 188, namestite podedovana pravila U2F iz GitHub in kopirajte 70-old-u2f.rules datoteko v /etc/udev/rules.d.

Če je vaša različica udev 244 ali novejša ali ste naredili potrebne datoteke s pravili, ste pripravljeni, da povežete svoj YubiKey s svojim računom.

Vstavite YubiKey v svoj računalnik, odprite terminal in vnesite naslednje ukaze, da povežete YubiKey z vašim računom:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

Počakajte nekaj trenutkov, da indikatorska lučka na vašem YubiKey začne utripati. Dotaknite se gumba na ključu YubiKey, da potrdite povezavo z napravo.

Če imate pri roki drug YubiKey, ga dodajte kot rezervno napravo tako, da vnesete naslednji ukaz in dokončate isti postopek:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Nazadnje boste morali konfigurirati ukaz sudo, da zahteva preverjanje pristnosti YubiKey. Začeti morate z vnosom naslednjega ukaza, da odprete konfiguracijsko datoteko sudo:

sudo vi /etc/pam.d/sudo

Ko je konfiguracijska datoteka odprta, prilepite naslednjo vrstico tik pod @include common-auth vrstica za konfiguracijo sudo, da zahteva preverjanje pristnosti YubiKey:

potrebna je avtorizacija pam_u2f.so

Shranite in zaprite datoteko s pritiskom na Pobegniti, tipkanje :wq, in pritiskanje Vnesite, vendar naj bo terminal odprt. Sprememb, ki ste jih naredili pri preverjanju pristnosti sudo, ne boste mogli razveljaviti, če se terminal zapre.

Odprite drugi terminal in zaženite naslednji ukaz, ko je vaš YubiKey izključen, nato vnesite svoje geslo:

sudo echo testiranje

Postopek preverjanja pristnosti ne bo uspel. Vstavite svoj YubiKey in ponovno vnesite ukaz in geslo. Ko lučka YubiKey začne utripati, se dotaknite gumba na vašem YubiKey. Moral bi potrditi pristnost ukaza. Če se, je vaš YubiKey v celoti nastavljen za preverjanje pristnosti sudo.

Avtorstvo slike: Håkan Dahlström/Flickr

Kako nastaviti YubiKey za avtentikacijo SSH

Svoj YubiKey lahko uporabite tudi za avtentikacijo SSH! Več serij YubiKey je združljivih s SSH, vključno s serijo 5 FIPS, serijo 5, serijo 4 FIPS in serijo 4. Uporaba YubiKey za preverjanje pristnosti vaših povezav vam bo omogočila naredite vsako prijavo v SSH veliko bolj varno.

Najboljšo metodo za nastavitev YubiKey je orisal izkušen uporabnik na GitHub. Potrebovali boste SSH 8.2 ali novejši in YubiKey z vdelano programsko opremo 5.2.3 ali novejšim. Svojo različico OpenSSH lahko preverite – in jo po potrebi posodobite – z naslednjimi ukazi:

ssh -V
posodobitev sudo apt && nadgradnja sudo apt

Nato boste morali konfigurirati SSH, da sprejme vaš YubiKey. Vnesite naslednji ukaz za odprite urejevalnik vi in ​​uredite konfiguracijsko datoteko:

sudo vi /etc/ssh/sshd_config

V konfiguracijsko datoteko dodajte naslednjo vrstico, da bo vaš YubiKey sprejet:

PubkeyAcceptedKeyTypes [email protected], [email protected]

Shranite in zaprite datoteko s pritiskom na Pobegniti, tipkanje :wq, in udarjanje Vnesite. Na koncu znova zaženite storitev SSH z naslednjim ukazom, da bo vaša nova konfiguracija postala aktivna:

ponovni zagon storitve sudo ssh

Končno ste pripravljeni ustvariti par ključev, ki jih boste uporabili za avtentikacijo SSH. Pomaknite se do imenika SSH in ustvarite nov ključ SSH z naslednjimi ukazi:

cd home/uporabniško ime/.ssh
ssh-keygen -t ed25519-sk

Dve datoteki bosta ustvarjeni v ~/.ssh/ imenik. Upoštevajte, da boste morda morali uporabiti ecdsa-sk namesto ed25519-sk če vaš sistem ni združljiv in terminal pozove, da vpis ključa ni uspel.

Nato boste morali dodati javni ključ v svoj strežnik z naslednjim ukazom:

ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub uporabniško ime@strežnik

Prav tako se morate dodati v datoteko sudoers, da boste ohranili dovoljenja po onemogočanju korenske prijave. Dostopite do datoteke in jo odprite z visudo.

Ne odpirajte datoteke sudoers z običajnim urejevalnikom besedil.

Pod črto, ki se glasi koren VSE=(VSE: VSE) VSE, dodajte naslednjo vrstico:

uporabniško ime VSI=(VSI: VSI) VSI

Odprite /etc/ssh/ssd_config in dodajte naslednje vrstice, da onemogočite korensko prijavo in prijavo na podlagi gesla:

ChallengeResponseAuthentication noPermitRootLogin št

Na koncu vnesite naslednji ukaz, da naložite svoj ključ v agenta SSH za čas trajanja seje:

ssh-dodaj ~/.ssh/id_ed25519_sk

Zdaj lahko uporabljate svoj YubiKey za avtentikacijo SSH. Ob pozivu boste morali YubiKey vstaviti v računalnik in se dotakniti gumba, ko indikator utripa. S to novo metodo preverjanja pristnosti bo SSH dostop do vašega oddaljenega strežnika bistveno varnejši.

Druge možne uporabe YubiKey

Ni resničnih omejitev, kako lahko uporabljate YubiKey v sistemu Linux. Če želite, da je vaš računalnik posebej varen, razmislite o uporabi vašega YubiKey za šifriranje diska ali brez gesla. Če želite, ga lahko uporabite celo za podpisovanje e-poštnih sporočil in datotek.

Zavarujte svoj sistem Linux z YubiKey

Ni se vam treba ustaviti le pri uporabi ključa YubiKey za preverjanje pristnosti SSH in sudo. Svoj YubiKey lahko uporabite tudi za preverjanje pristnosti dostopa do številnih svojih računov po spletu. Najboljši del je, da je začetek uporabe YubiKey 2FA preprost postopek.