Konfiguracija SSH z YubiKey varnostnimi ključi je odličen način za izboljšanje varnosti vaših povezav. Ta vodič vas bo popeljal skozi korake za nastavitev varne avtentikacije SSH z uporabo YubiKey, ki ponuja zaščito s pomočjo strojne opreme.
Predpogoji
- Različica OpenSSH: Prepričajte se, da imate nameščeno različico OpenSSH 8.2 ali višjo. Različico lahko preverite z naslednjo ukazno vrstico:
bash
ssh -V
Firmware YubiKey: Preverite, ali vaš YubiKey deluje s firmware različico 5.2.3 ali višjo. To lahko preverite z naslednjim ukazom:bashlsusb -v 2>/dev/null | grep -A2 Yubico | grep "bcdDevice"
Potrebne knjižnice: Namestite potrebne knjižnice, zlasti
libfido2
, ki je ključna za podporo FIDO2:bashsudo apt-get install libfido2-dev
Generiranje SSH ključev
Korak 1: Ustvarite nov par SSH ključev
Lahko ustvarite par ključev ed25519-sk
ali ecdsa-sk
. Priporočamo uporabo tipa ed25519-sk
, če vaš YubiKey to podpira.Za generiranje ključa vstavite YubiKey in zaženite:
ssh-keygen -t ed25519-sk
ali
ssh-keygen -t ecdsa-sk
Korak 2: Uporaba rezidentnih ključev (neobvezno)
Če vaš YubiKey podpira rezidentne ključe, lahko ustvarite ključ, ki je shranjen neposredno na YubiKey. To lahko storite z naslednjim ukazom:
ssh-keygen -t ed25519-sk -O resident
Korak 3: Nastavite PIN (priporočljivo)
Nastavitev PIN-a za vaš YubiKey doda dodatno plast varnosti. To lahko nastavite z uporabo YubiKey Managerja.
Kopiranje javnega ključa na oddaljene strežnike
Ko je vaš par ključev ustvarjen, morate javni ključ kopirati na oddaljeni strežnik, kjer želite avtenticirati. Uporabite naslednji ukaz:
ssh-copy-id -i ~/.ssh/id_ed25519_sk.pub uporabnik@oddaljeni_strežnik
Preizkušanje vaše SSH povezave
Za preizkus povezave SSH z novim ključem zaženite:
ssh -i ~/.ssh/id_ed25519_sk -o 'IdentitiesOnly yes' uporabnik@oddaljeni_strežnik
Če ste nastavili PIN, boste pozvani, da ga vnesete.
Dodatna razmišljanja
- Več YubiKey-jev: Priporočljivo je, da konfigurirate dva YubiKey-a za primer, da enega izgubite ali poškodujete. Ustvarite pare ključev za oba in ju dodajte na svoje dovoljene ključe na strežnikih.
- Varnostne prakse: Izogibajte se shranjevanju zasebnega ključa na YubiKey. Namesto tega ga hranite na lokalnem računalniku in uporabite YubiKey za avtentikacijo.
- Varnostna kopija: Vedno poskrbite za varnostno kopijo svojih javnih ključev in konfiguracij, da se izognete situacijam, ko se ne morete prijaviti.
Z upoštevanjem teh korakov lahko učinkovito konfigurirate SSH z YubiKey varnostnimi ključi, kar vam omogoča robustno zaščito vaših SSH povezav.Navodila za konfiguracijo SSH z YubiKey varnostnimi ključi so primerna za večino priljubljenih distribucij Linuxa, vključno z:
- Ubuntu: Znana po svoji uporabniku prijaznosti in široki podpori za strojno opremo.
- Debian: Stabilna in vsestranska distribucija, ki je osnova za mnoge druge distribucije, vključno z Ubuntu.
- Fedora: Osredotočena na najnovejše tehnologije in ponuja redne posodobitve.
- Linux Mint: Uporabniku prijazna distribucija, ki temelji na Ubuntuju in je primerna za začetnike.
- Arch Linux: Prilagodljiva distribucija, ki je primerna za napredne uporabnike, ki želijo imeti popoln nadzor nad svojim sistemom.
- openSUSE: Uporabniku prijazna distribucija, ki ponuja široko paleto orodij in funkcij.
Navodila so lahko uporabna tudi za druge distribucije, ki podpirajo OpenSSH in FIDO2, vendar se lahko specifični koraki nekoliko razlikujejo glede na distribucijo in njen sistem paketov.