Kako konfigurirati SSH z YubiKey varnostnimi ključi na Linuxu

Konfiguracija SSH z YubiKey varnostnimi ključi je odličen način za izboljšanje varnosti vaših povezav. Ta vodič vas bo popeljal skozi korake za nastavitev varne avtentikacije SSH z uporabo YubiKey, ki ponuja zaščito s pomočjo strojne opreme.

Predpogoji

  1. Različica OpenSSH: Prepričajte se, da imate nameščeno različico OpenSSH 8.2 ali višjo. Različico lahko preverite z naslednjo ukazno vrstico:
    bash
    ssh -V
    Firmware YubiKey: Preverite, ali vaš YubiKey deluje s firmware različico 5.2.3 ali višjo. To lahko preverite z naslednjim ukazom:
    bash
    lsusb -v 2>/dev/null | grep -A2 Yubico | grep "bcdDevice"

    Potrebne knjižnice: Namestite potrebne knjižnice, zlasti libfido2, ki je ključna za podporo FIDO2:

    bash
    sudo apt-get install libfido2-dev

Generiranje SSH ključev

Korak 1: Ustvarite nov par SSH ključev

Lahko ustvarite par ključev ed25519-sk ali ecdsa-sk. Priporočamo uporabo tipa ed25519-sk, če vaš YubiKey to podpira.Za generiranje ključa vstavite YubiKey in zaženite:

bash
ssh-keygen -t ed25519-sk

ali

bash
ssh-keygen -t ecdsa-sk

Korak 2: Uporaba rezidentnih ključev (neobvezno)

Če vaš YubiKey podpira rezidentne ključe, lahko ustvarite ključ, ki je shranjen neposredno na YubiKey. To lahko storite z naslednjim ukazom:

bash
ssh-keygen -t ed25519-sk -O resident

Korak 3: Nastavite PIN (priporočljivo)

Nastavitev PIN-a za vaš YubiKey doda dodatno plast varnosti. To lahko nastavite z uporabo YubiKey Managerja.

Kopiranje javnega ključa na oddaljene strežnike

Ko je vaš par ključev ustvarjen, morate javni ključ kopirati na oddaljeni strežnik, kjer želite avtenticirati. Uporabite naslednji ukaz:

bash
ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub uporabnik@oddaljeni_strežnik

Preizkušanje vaše SSH povezave

Za preizkus povezave SSH z novim ključem zaženite:

bash
ssh -i ~/.ssh/id_ed25519_sk -o 'IdentitiesOnly yes' uporabnik@oddaljeni_strežnik

Če ste nastavili PIN, boste pozvani, da ga vnesete.

Dodatna razmišljanja

  • Več YubiKey-jev: Priporočljivo je, da konfigurirate dva YubiKey-a za primer, da enega izgubite ali poškodujete. Ustvarite pare ključev za oba in ju dodajte na svoje dovoljene ključe na strežnikih.
  • Varnostne prakse: Izogibajte se shranjevanju zasebnega ključa na YubiKey. Namesto tega ga hranite na lokalnem računalniku in uporabite YubiKey za avtentikacijo.
  • Varnostna kopija: Vedno poskrbite za varnostno kopijo svojih javnih ključev in konfiguracij, da se izognete situacijam, ko se ne morete prijaviti.

Z upoštevanjem teh korakov lahko učinkovito konfigurirate SSH z YubiKey varnostnimi ključi, kar vam omogoča robustno zaščito vaših SSH povezav.Navodila za konfiguracijo SSH z YubiKey varnostnimi ključi so primerna za večino priljubljenih distribucij Linuxa, vključno z:

  • Ubuntu: Znana po svoji uporabniku prijaznosti in široki podpori za strojno opremo.
  • Debian: Stabilna in vsestranska distribucija, ki je osnova za mnoge druge distribucije, vključno z Ubuntu.
  • Fedora: Osredotočena na najnovejše tehnologije in ponuja redne posodobitve.
  • Linux Mint: Uporabniku prijazna distribucija, ki temelji na Ubuntuju in je primerna za začetnike.
  • Arch Linux: Prilagodljiva distribucija, ki je primerna za napredne uporabnike, ki želijo imeti popoln nadzor nad svojim sistemom.
  • openSUSE: Uporabniku prijazna distribucija, ki ponuja široko paleto orodij in funkcij.

Navodila so lahko uporabna tudi za druge distribucije, ki podpirajo OpenSSH in FIDO2, vendar se lahko specifični koraki nekoliko razlikujejo glede na distribucijo in njen sistem paketov.

Leave a Reply

Your email address will not be published. Required fields are marked *