Pokud považujete ověřování pomocí hesla a dvoufaktorové ověřování za nespolehlivé, zvažte nastavení ověřování pomocí hardwaru v systému Linux pomocí YubiKey.

Nejste sami, pokud se obáváte stále rostoucí hrozby hackingu. Zatímco výzvy k autentizaci a 2FA jsou dostatečné k odražení většiny potenciálních hackerů, stále se každý den podaří tisíce narušení.

Jedním z nejčastěji nabízených řešení problému s autentizací je YubiKey. Ale co je YubiKey a jak funguje hardwarová autentizace? Můžete zabezpečit svůj počítač se systémem Linux pomocí YubiKey?

Proč používat YubiKey pro hardwarovou autentizaci?

Existuje mnoho různých typů ověřování, včetně hesel, ověřování SMS a dokonce ověřovací aplikace, které můžete používat s telefonem. Jedním méně běžným typem je hardwarová autentizace, která zahrnuje použití malého plug-in zařízení k odeslání autentizačního tokenu na výzvu.

YubiKeys a další hardwarová autentizační zařízení mají oproti jiným autentizátorům několik výhod. Snadněji se používají, jsou mnohem bezpečnější a je téměř nemožné je kompromitovat bez přístupu k samotnému fyzickému klíči YubiKey.

instagram viewer

Začínáme s Yubikey

S YubiKey můžete začít v několika jednoduchých krocích. Jako první krok byste měli použít kvíz vytvořený společností Yubico nakupovat nejlepší YubiKey pro specifikace vašeho zařízení. Jakmile budete mít svůj YubiKey po ruce, můžete jej použít jako ověřovací zařízení pro webové stránky a aplikace.

Můžete jej dokonce použít k ověření sudo a SSH na vašem počítači se systémem Linux. Vysvětlíme vše, co potřebujete vědět o výběru sudo/SSH kompatibilního YubiKey a jeho konfiguraci pro ověřování.

Obrazový kredit: Tony Webster/Flickr

Výběr správného klíče YubiKey pro váš systém

Pokud chcete svůj YubiKey používat k ověřování na svém počítači se systémem Linux, existuje několik klíčů YubiKey, které vynikají jako vynikající možnosti. YubiKey 5 a YubiKey 5 NFC jsou klasiky, které dobře fungují se systémy s USB-A a USB-C.

Pokud chcete YubiKey používat s počítačem se systémem Linux a telefonem Android, měli byste zvážit YubiKey 5c NFC. Pokud máte počítač se systémem Linux a iPhone, měli byste zvážit YubiKey 5ci, protože podporuje USB-C a lightning.

Je důležité si uvědomit, že řada YubiHSM není kompatibilní s ověřováním sudo. Starší YubiKeys mohou nebo nemusí být kompatibilní s autentizací sudo/SSH v závislosti na jejich specifických vlastnostech.

Než začnete s ověřováním sudo nebo SSH, musíte nainstalovat YubiKey PPA. Otevřete terminál a zadejte následující příkazy pro aktualizaci vašich balíčků a instalaci YubiKey Authenticator a YubiKey Manager:

sudo add-apt-repository ppa: yubico/stable
aktualizace sudo apt-get
sudo apt nainstalovat yubikey-manager libpam-yubico libpam-u2f

Dále budete muset ověřit, zda je váš systém připraven pracovat s vaším YubiKey. Spusťte následující příkaz v terminálu a zkontrolujte verzi udev:

sudo udevadm --verze

Terminál vrátí číslo. Pokud je číslo 244 nebo vyšší, váš systém je kompatibilní s YubiKey. V tomto případě můžete další krok přeskočit.

V opačném případě budete muset nakonfigurovat systém. Následující příkazy byste měli použít ke kontrole, zda je na vašem počítači nainstalován udev – a k jeho instalaci, pokud není:

dpkg -s libu2f-udev
sudo apt install libu2f-udev

Dále zkontrolujte, zda je rozhraní U2F vašeho YubiKey odemčeno. Pokud máte YubiKey NEO nebo YubiKey NEO-n, vložte svůj YubiKey, otevřete YubiKey Manager a přejděte na Rozhraní. Povolit U2F rozhraní a stiskněte Uložit.

Nastavte YubiKey pro ověřování sudo v systému Linux

sudo je jedním z nejnebezpečnějších příkazů v prostředí Linuxu. Ve správných rukou poskytuje působivou úroveň přístupu, která je dostatečná pro provedení většiny úkolů. Ve špatných rukou může kořenový přístup, který sudo poskytuje, umožnit uživatelům se zlými úmysly zneužít nebo zničit systém.

YubiKeys jsou vynikající pro autentizaci sudo, protože jejich autentizaci je téměř nemožné replikovat bez přístupu k samotnému YubiKey. Většina klíčů YubiKey je kompatibilní s autentizací sudo, včetně 5 FIPs Series, Key Series, 4 FIPs Series, Bio Series, 5 Series a 4 Series.

Podle Yubico, prvním krokem, který musíte udělat pro konfiguraci autentizace sudo, je vytvoření souboru pravidel. Pokud je vaše verze udev 188 nebo vyšší, nainstalujte nová pravidla U2F z GitHub a zkopírujte 70-u2f.pravidla soubor do /etc/udev/rules.d.

Pokud je vaše verze udev nižší než 188, nainstalujte starší pravidla U2F z GitHub a zkopírujte 70-starý-u2f.pravidla soubor do /etc/udev/rules.d.

Pokud je vaše verze udev 244 nebo vyšší nebo jste vytvořili potřebné soubory pravidel, jste připraveni propojit svůj YubiKey se svým účtem.

Vložte YubiKey do vašeho počítače, otevřete terminál a zadejte následující příkazy pro propojení vašeho YubiKey s vaším účtem:

mkdir -p ~/.config/Yubicopamu2fcfg > ~/.config/Yubico/u2f_keys

Počkejte několik okamžiků, dokud nezačne kontrolka na vašem YubiKey blikat. Klepnutím na tlačítko na vašem YubiKey potvrďte propojení se zařízením.

Pokud máte po ruce další YubiKey, měli byste jej přidat jako záložní zařízení zadáním následujícího příkazu a dokončením stejného procesu:

pamu2fcfg -n >> ~/.config/Yubico/u2f_keys

Nakonec budete muset nakonfigurovat příkaz sudo tak, aby vyžadoval ověření YubiKey. Měli byste začít zadáním následujícího příkazu pro otevření konfiguračního souboru sudo:

sudo vi /etc/pam.d/sudo

Jakmile je konfigurační soubor otevřen, vložte následující řádek těsně pod @include common-auth řádek pro konfiguraci sudo tak, aby vyžadovalo ověření YubiKey:

vyžadováno ověření pam_u2f.so

Uložte a ukončete soubor stisknutím Uniknout, psaní na stroji :wqa stisknutím Vstupte, ale ponechte terminál otevřený. Pokud se terminál zavře, nebudete moci vrátit změny, které jste provedli v ověřování sudo.

Otevřete druhý terminál a spusťte následující příkaz s odpojeným klíčem YubiKey a poté zadejte své heslo:

testování sudo echo

Proces ověřování se nezdaří. Vložte svůj YubiKey a znovu zadejte příkaz a heslo. Když kontrolka YubiKey začne blikat, dotkněte se tlačítka na YubiKey. Mělo by to ověřit příkaz. Pokud ano, váš YubiKey je plně nastaven pro ověřování sudo.

Obrazový kredit: Håkan Dahlström/Flickr

Jak nastavit YubiKey pro ověřování SSH

Svůj YubiKey můžete použít i pro ověřování SSH! Několik řad YubiKey je kompatibilních s SSH, včetně 5 FIPS Series, 5 Series, 4 FIPS Series a 4 Series. Použití YubiKey k ověření vašich připojení vám to umožní udělejte každé přihlášení SSH mnohem bezpečnější.

Nejlepší způsob nastavení YubiKey byl popsán zkušeným uživatelem na GitHub. Budete potřebovat SSH 8.2 nebo novější a YubiKey s firmwarem 5.2.3 nebo novějším. Verzi OpenSSH můžete zkontrolovat – a v případě potřeby ji aktualizovat – pomocí následujících příkazů:

ssh -V
aktualizace sudo apt && upgrade sudo apt

Dále budete muset nakonfigurovat SSH tak, aby přijímal váš YubiKey. Zadejte následující příkaz otevřete editor vi a upravte konfigurační soubor:

sudo vi /etc/ssh/sshd_config

Přidejte následující řádek do konfiguračního souboru, aby byl váš YubiKey přijat:

PubkeyAcceptedKeyTypes [email protected], [email protected]

Uložte a ukončete soubor stisknutím Uniknout, psaní na stroji :wqa bít Vstupte. Nakonec restartujte službu SSH pomocí následujícího příkazu, aby se vaše nová konfigurace aktivovala:

restart služby sudo ssh

Nakonec jste připraveni vytvořit pár klíčů, který budete používat pro ověřování SSH. Přejděte do adresáře SSH a vytvořte nový klíč SSH pomocí následujících příkazů:

cd home/username/.ssh
ssh-keygen -t ed25519-sk

V souboru se vytvoří dva soubory ~/.ssh/ adresář. Všimněte si, že možná budete muset použít ecdsa-sk namísto ed25519-sk pokud je váš systém nekompatibilní a terminál vás vyzve, že registrace klíče selhala.

Dále budete muset přidat veřejný klíč na váš server pomocí následujícího příkazu:

ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub uživatelské jméno@server

Měli byste se také přidat do souboru sudoers, abyste zachovali oprávnění i po deaktivaci přihlášení root. Otevřete soubor a otevřete jej pomocí aplikace visudo.

Neotevírejte soubor sudoers běžným textovým editorem.

Pod řádkem, který zní root ALL=(ALL: ALL) ALL, přidejte následující řádek:

uživatelské jméno ALL=(ALL: ALL) ALL

Otevři /etc/ssh/ssd_config a přidejte následující řádky, abyste zakázali přihlašování root a přihlašování na základě hesla:

ChallengeResponseAuthentication noPermitRootLogin no

Nakonec zadejte následující příkaz pro načtení klíče do agenta SSH po dobu trvání relace:

ssh-add ~/.ssh/id_ed25519_sk

Nyní můžete používat svůj YubiKey pro ověřování SSH. Na výzvu budete muset vložit YubiKey do počítače a klepnout na tlačítko, když indikátor bliká. S touto novou autentizační metodou bude SSH přístup k vašemu vzdálenému serveru výrazně bezpečnější.

Další možná použití YubiKey

Neexistuje žádný skutečný limit toho, jak můžete YubiKey používat ve svém systému Linux. Pokud chcete, aby byl váš počítač mimořádně bezpečný, zvažte použití klíče YubiKey pro šifrování disku nebo bez hesla. Pokud chcete, můžete jej dokonce použít k podepisování e-mailů a souborů.

Zabezpečte svůj systém Linux pomocí YubiKey

Nemusíte se zastavit pouze u používání YubiKey pro ověřování SSH a sudo. Svůj YubiKey můžete také použít k ověření přístupu k mnoha svým účtům na webu. Nejlepší na tom je, že začít s YubiKey 2FA je jednoduchý proces.