Ak považujete autentifikáciu založenú na hesle a dvojfaktorovú autentifikáciu za nespoľahlivú, zvážte nastavenie hardvérovej autentifikácie v systéme Linux pomocou YubiKey.

Nie ste sami, ak sa obávate neustále rastúcej hrozby hackingu. Zatiaľ čo výzvy na overenie a 2FA postačujú na odvrátenie väčšiny potenciálnych hackerov, každý deň sa stále darí tisíckam narušení.

Jedným z najčastejšie ponúkaných riešení problému s autentifikáciou je YubiKey. Čo je však YubiKey a ako funguje hardvérová autentifikácia? Môžete zabezpečiť svoj počítač so systémom Linux pomocou YubiKey?

Prečo používať YubiKey na hardvérovú autentifikáciu?

Existuje mnoho rôznych typov autentifikácie, vrátane hesiel, SMS autentifikácie a dokonca autentifikačné aplikácie, ktoré môžete používať s telefónom. Menej bežným typom je hardvérová autentifikácia, ktorá zahŕňa použitie malého zásuvného zariadenia na odoslanie autentifikačného tokenu, keď sa zobrazí výzva.

YubiKeys a ďalšie hardvérové ​​autentifikačné zariadenia majú oproti iným autentifikátorom niekoľko výhod. Jednoduchšie sa používajú, sú oveľa bezpečnejšie a je takmer nemožné ich kompromitovať bez prístupu k samotnému fyzickému kľúču YubiKey.

instagram viewer

Začíname s Yubikey

S YubiKey môžete začať v niekoľkých jednoduchých krokoch. Ako prvý krok by ste mali použiť kvíz od Yubico nakupovať najlepší YubiKey pre špecifikácie vášho zariadenia. Keď budete mať svoj YubiKey po ruke, môžete ho použiť ako autentifikačné zariadenie pre webové stránky a aplikácie.

Môžete ho dokonca použiť na overenie sudo a SSH na vašom počítači so systémom Linux. Vysvetlíme vám všetko, čo potrebujete vedieť o výbere sudo/SSH kompatibilného YubiKey a jeho konfigurácii na overenie.

Obrazový kredit: Tony Webster/Flickr

Výber správneho kľúča YubiKey pre váš systém

Ak chcete použiť svoj YubiKey na autentifikáciu na svojom počítači so systémom Linux, existuje niekoľko kľúčov YubiKey, ktoré vynikajú ako vynikajúce možnosti. YubiKey 5 a YubiKey 5 NFC sú klasické, ktoré dobre fungujú so systémami s USB-A a USB-C.

Ak chcete používať YubiKey s počítačom so systémom Linux a telefónom s Androidom, mali by ste zvážiť YubiKey 5c NFC. Ak máte počítač so systémom Linux a iPhone, mali by ste zvážiť YubiKey 5ci, pretože podporuje USB-C a lightning.

Je dôležité poznamenať, že séria YubiHSM nie je kompatibilná s autentifikáciou sudo. Staršie YubiKeys môžu alebo nemusia byť kompatibilné s autentifikáciou sudo/SSH v závislosti od ich špecifických funkcií.

Pred začatím overovania sudo alebo SSH si musíte nainštalovať YubiKey PPA. Otvorte terminál a zadajte nasledujúce príkazy na aktualizáciu balíkov a inštaláciu YubiKey Authenticator a YubiKey Manager:

sudo add-apt-repository ppa: yubico/stable
aktualizácia sudo apt-get
sudo apt nainštalovať yubikey-manager libpam-yubico libpam-u2f

Ďalej budete musieť overiť, či je váš systém pripravený na prácu s vaším YubiKey. Spustite nasledujúci príkaz v termináli a skontrolujte svoju verziu udev:

sudo udevadm --verzia

Terminál vráti číslo. Ak je číslo 244 alebo vyššie, váš systém je kompatibilný s YubiKey. V tomto prípade môžete preskočiť nasledujúci krok.

V opačnom prípade budete musieť nakonfigurovať systém. Nasledujúce príkazy by ste mali použiť na kontrolu, či je na vašom počítači nainštalovaný udev – a na jeho inštaláciu, ak nie je:

dpkg -s libu2f-udev
sudo apt install libu2f-udev

Ďalej skontrolujte, či je rozhranie U2F vášho YubiKey odomknuté. Ak máte YubiKey NEO alebo YubiKey NEO-n, vložte svoj YubiKey, otvorte YubiKey Manager a prejdite na Rozhrania. Povoliť Rozhranie U2F a stlačte Uložiť.

Nastavte YubiKey pre sudo autentifikáciu v systéme Linux

sudo je jedným z najnebezpečnejších príkazov v prostredí Linuxu. V správnych rukách poskytuje pôsobivú úroveň prístupu, ktorá je dostatočná na vykonanie väčšiny úloh. V nesprávnych rukách môže koreňový prístup, ktorý sudo poskytuje, umožniť používateľom so zlými úmyslami zneužiť alebo zničiť systém.

YubiKeys sú vynikajúce pre sudo autentifikáciu, pretože ich autentifikáciu je takmer nemožné replikovať bez prístupu k samotnému YubiKey. Väčšina kľúčov YubiKey je kompatibilná s autentifikáciou sudo, vrátane série 5 FIPs, série kľúčov, série 4 FIP, série Bio, série 5 a série 4.

Podľa Yubico, prvým krokom, ktorý musíte urobiť, aby ste nakonfigurovali sudo autentifikáciu, je vytvorenie súboru pravidiel. Ak je vaša verzia udev 188 alebo vyššia, nainštalujte si nové pravidlá U2F z GitHub a skopírujte 70-u2f.pravidlá súbor do /etc/udev/rules.d.

Ak je vaša verzia udev nižšia ako 188, nainštalujte staré pravidlá U2F z GitHub a skopírujte 70-starý-u2f.pravidlá súbor do /etc/udev/rules.d.

Ak je vaša verzia udev 244 alebo vyššia alebo ste vytvorili potrebné súbory pravidiel, ste pripravení prepojiť svoj YubiKey s vaším účtom.

Vložte YubiKey do svojho počítača, otvorte terminál a zadaním nasledujúcich príkazov prepojte YubiKey s vaším účtom:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

Počkajte niekoľko okamihov, kým kontrolka na vašom YubiKey nezačne blikať. Dotknite sa tlačidla na YubiKey, čím potvrdíte prepojenie zariadenia.

Ak máte po ruke ďalší YubiKey, mali by ste ho pridať ako záložné zariadenie zadaním nasledujúceho príkazu a dokončením rovnakého procesu:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Nakoniec budete musieť nakonfigurovať príkaz sudo tak, aby vyžadoval autentifikáciu YubiKey. Mali by ste začať zadaním nasledujúceho príkazu na otvorenie konfiguračného súboru sudo:

sudo vi /etc/pam.d/sudo

Po otvorení konfiguračného súboru prilepte nasledujúci riadok tesne pod @include common-auth riadok na konfiguráciu sudo tak, aby vyžadoval autentifikáciu YubiKey:

vyžaduje sa autorizácia pam_u2f.so

Uložte a ukončite súbor stlačením Uniknúť, písanie :wqa stlačením Zadajte, ale nechajte terminál otvorený. Ak sa terminál zatvorí, nebudete môcť vrátiť zmeny, ktoré ste vykonali v autentifikácii sudo.

Otvorte druhý terminál a spustite nasledujúci príkaz s odpojeným kľúčom YubiKey a potom zadajte svoje heslo:

testovanie sudo echo

Proces overenia zlyhá. Vložte svoj YubiKey a znova zadajte príkaz a heslo. Keď indikátor YubiKey začne blikať, dotknite sa tlačidla na YubiKey. Mal by overiť príkaz. Ak áno, váš YubiKey je plne nastavený na autentifikáciu sudo.

Obrazový kredit: Håkan Dahlström/Flickr

Ako nastaviť YubiKey pre autentifikáciu SSH

Svoj YubiKey môžete použiť aj na autentifikáciu SSH! Niekoľko sérií YubiKey je kompatibilných s SSH, vrátane sérií 5 FIPS, 5, 4 FIPS a 4. Použitie YubiKey na overenie vašich pripojení vám to umožní urobte každé prihlásenie SSH oveľa bezpečnejšie.

Najlepší spôsob nastavenia YubiKey bol načrtnutý skúseným používateľom na GitHub. Budete potrebovať SSH 8.2 alebo novší a YubiKey s firmvérom 5.2.3 alebo novším. Verziu OpenSSH môžete skontrolovať – a v prípade potreby ju aktualizovať – pomocou nasledujúcich príkazov:

ssh -V
sudo apt aktualizácia && sudo apt upgrade

Ďalej budete musieť nakonfigurovať SSH, aby akceptoval váš YubiKey. Zadajte nasledujúci príkaz otvorte editor vi a upravte konfiguračný súbor:

sudo vi /etc/ssh/sshd_config

Pridajte nasledujúci riadok do konfiguračného súboru, aby bol váš YubiKey akceptovaný:

PubkeyAcceptedKeyTypes [email protected], [email protected]

Uložte a ukončite súbor stlačením Uniknúť, písanie :wqa biť Zadajte. Nakoniec reštartujte službu SSH pomocou nasledujúceho príkazu, aby sa vaša nová konfigurácia stala aktívnou:

reštart služby sudo ssh

Nakoniec ste pripravení vytvoriť pár kľúčov, ktorý použijete na overenie SSH. Prejdite do adresára SSH a vytvorte nový kľúč SSH pomocou nasledujúcich príkazov:

cd home/username/.ssh
ssh-keygen -t ed25519-sk

V súbore sa vytvoria dva súbory ~/.ssh/ adresár. Upozorňujeme, že možno budete musieť použiť ecdsa-sk namiesto ed25519-sk ak je váš systém nekompatibilný a terminál vás vyzve, že registrácia kľúča zlyhala.

Ďalej budete musieť pridať verejný kľúč na váš server pomocou nasledujúceho príkazu:

ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub username@server

Mali by ste sa tiež pridať do súboru sudoers, aby ste si zachovali povolenia aj po vypnutí prihlásenia root. Otvorte súbor a otvorte ho pomocou visudo.

Neotvárajte súbor sudoers pomocou bežného textového editora.

Pod riadkom, ktorý znie root ALL=(ALL: ALL) ALL, pridajte nasledujúci riadok:

užívateľské meno ALL=(ALL: ALL) ALL

Otvor /etc/ssh/ssd_config súbor a pridajte nasledujúce riadky, aby ste zakázali prihlásenie root a prihlásenie na základe hesla:

ChallengeResponseAuthentication noPermitRootLogin no

Nakoniec zadajte nasledujúci príkaz na načítanie kľúča do vášho agenta SSH počas trvania relácie:

ssh-add ~/.ssh/id_ed25519_sk

Teraz môžete použiť svoj YubiKey na autentifikáciu SSH. Keď budete vyzvaní, budete musieť vložiť svoj YubiKey do počítača a klepnúť na tlačidlo, keď indikátor bliká. S touto novou metódou autentifikácie bude prístup SSH na váš vzdialený server výrazne bezpečnejší.

Ďalšie potenciálne použitia YubiKey

Neexistuje žiadne skutočné obmedzenie toho, ako môžete použiť YubiKey vo svojom systéme Linux. Ak chcete, aby bol váš počítač mimoriadne bezpečný, zvážte použitie kľúča YubiKey na šifrovanie disku alebo bez hesla. Ak chcete, môžete ho dokonca použiť na podpisovanie e-mailov a súborov.

Zabezpečte svoj systém Linux pomocou YubiKey

Nemusíte sa zastaviť len pri používaní YubiKey na overenie SSH a sudo. Svoj YubiKey môžete použiť aj na overenie prístupu k mnohým vašim účtom na webe. Najlepšie na tom je, že začať s YubiKey 2FA je jednoduchý proces.